安全漏洞公告
1 Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞发布时间:2014-06-19漏洞编号:BUGTRAQ ID: 68083 CVE ID: CVE-2014-4157漏洞描述:Linux Kernel是Linux操作系统的内核。 Linux Kernel在实现上存在拒绝服务漏洞,成功利用后可使攻击者造成受影响内核崩溃,导致拒绝服务。安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.kernel.org/
2 Apache Tomcat远程拒绝服务漏洞
Apache Tomcat远程拒绝服务漏洞 | |
|---|---|
发布时间: | 2014-06-18 |
漏洞编号: | BUGTRAQ ID: 68072CVE ID: CVE-2014-0186 |
漏洞描述: | OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OAuth和OpenID协议目前被广泛用于各大公司——如微软、Facebook、 Google、Yahoo、VK、PayPal、GitHub、LinkedIn、QQ、Weibo等。OAUTH及OpenID在实现上存在隐蔽重定向漏洞,即攻击者在受影响站点创建一个弹出式登录窗口,然后诱使用户登录,窃取个人数据,将用户重定向到攻击者控制的网站。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html |
3 Zabbix XML外部实体注入漏洞
Zabbix XML外部实体注入漏洞 | |
|---|---|
发布时间: | 2014-06-18 |
漏洞编号: | BUGTRAQ ID: 68075CVE ID: CVE-2014-3005 |
漏洞描述: | ZABBIX是一个CS结构的分布式网络监控系统。Zabbix 1.8 - 2.2版本include/classes/import/CXmlImport18.php存在XML外部实体注入漏洞,攻击者可利用此漏洞获取敏感信息。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:www.zabbix.com svn://svn.zabbix.com/branches/dev/ZBX-8151-18 r46594 for 1.8svn://svn.zabbix.com/branches/dev/ZBX-8151-20 r46600 for 2.0+ |
4 PHP "php_parserr()"缓冲区溢出漏洞
PHP "php_parserr()"缓冲区溢出漏洞 | |
|---|---|
发布时间: | 2014-06-17 |
漏洞编号: | CVE ID: CVE-2014-4049 |
漏洞描述: | PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP在"php_parserr()"函数(ext/standard/dns.c)的实现中存在错误,恶意用户通过特制的DNS TXT记录响应,利用此漏洞可造成堆缓冲区溢出。成功利用后可导致任意代码执行。要利用此漏洞需要通过中间人攻击注入任意DNS响应数据包。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.phphttps://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b |
5 Symantec Web Gateway 多个跨站脚本漏洞
Symantec Web Gateway 多个跨站脚本漏洞 | |
|---|---|
发布时间: | 2014-06-17 |
漏洞编号: | BUGTRAQ ID: 67755CVE ID: CVE-2014-1652 |
漏洞描述: | Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。Symantec Web Gateway 5.2.1之前版本没有正确过滤用户输入在实现上存在多个跨站脚本漏洞,攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意脚本代码。 |
安全建议: | 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.symantec.com/business/security_response/ |
6 Symantec Web Gateway 'SNMPConfig.php' 远程命令注入漏洞
Symantec Web Gateway 'SNMPConfig.php' 远程命令注入漏洞 | |
|---|---|
发布时间: | 2014-06-16 |
漏洞编号: | BUGTRAQ ID: 67752CVE(CAN) ID: CVE-2013-5017 |
漏洞描述: | Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。Symantec Web Gateway 5.2.1版本存在远程命令注入漏洞,攻击者可利用这些漏洞在受影响设备上下文中以提升的权限执行任意命令。 |
安全建议: | 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.symantec.com/business/security_response/ |
7 Symantec Web Gateway SQL注入漏洞
Symantec Web Gateway SQL注入漏洞 | |
|---|---|
发布时间: | 2014-06-16 |
漏洞编号: | BUGTRAQ ID: 67754CVE ID: CVE-2014-1651 , CVE-2014-1650 |
漏洞描述: | Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。Symantec Web Gateway 5.2.1之前版本没有正确过滤用户输入在实现上存在多个SQL注入漏洞,攻击者可利用这些漏洞在下层数据库中执行未授权数据库操作。 |
安全建议: | 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.symantec.com/business/security_response/ |
8 Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞
3.8 Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞 | |
|---|---|
发布时间: | 2014-06-16 |
漏洞编号: | BUGTRAQ ID: 68031 |
漏洞描述: | Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。Zend Framework 1.12.7之前版本没有正确过滤"Zend_Db_Select::order()"函数内的输入就将其用在SQL查询内,恶意用户通过注入任意SQL代码,可篡改SQL查询。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:<a href="http://framework.zend.com/security/advisory/" target="_blank" "="" style="text-decoration: none; color: rgb(68, 127, 180);">http://framework.zend.com/security/advisory/http://framework.zend.com/security/advisory/ZF2014-04 |
------------------------------