安全漏洞公告

1 Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞发布时间:2014-06-19漏洞编号:BUGTRAQ ID: 68083 CVE ID: CVE-2014-4157漏洞描述:Linux Kernel是Linux操作系统的内核。 Linux Kernel在实现上存在拒绝服务漏洞,成功利用后可使攻击者造成受影响内核崩溃,导致拒绝服务。安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.kernel.org/

2 Apache Tomcat远程拒绝服务漏洞

Apache Tomcat远程拒绝服务漏洞

发布时间:

2014-06-18

漏洞编号:

BUGTRAQ ID: 68072CVE ID: CVE-2014-0186

漏洞描述:

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OAuth和OpenID协议目前被广泛用于各大公司——如微软、Facebook、 Google、Yahoo、VK、PayPal、GitHub、LinkedIn、QQ、Weibo等。OAUTH及OpenID在实现上存在隐蔽重定向漏洞,即攻击者在受影响站点创建一个弹出式登录窗口,然后诱使用户登录,窃取个人数据,将用户重定向到攻击者控制的网站。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html

3 Zabbix XML外部实体注入漏洞

Zabbix XML外部实体注入漏洞

发布时间:

2014-06-18

漏洞编号:

BUGTRAQ ID: 68075CVE ID: CVE-2014-3005

漏洞描述:

ZABBIX是一个CS结构的分布式网络监控系统。Zabbix 1.8 - 2.2版本include/classes/import/CXmlImport18.php存在XML外部实体注入漏洞,攻击者可利用此漏洞获取敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:www.zabbix.com svn://svn.zabbix.com/branches/dev/ZBX-8151-18 r46594 for 1.8svn://svn.zabbix.com/branches/dev/ZBX-8151-20 r46600 for 2.0+

4 PHP "php_parserr()"缓冲区溢出漏洞

PHP "php_parserr()"缓冲区溢出漏洞

发布时间:

2014-06-17

漏洞编号:

CVE ID: CVE-2014-4049

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP在"php_parserr()"函数(ext/standard/dns.c)的实现中存在错误,恶意用户通过特制的DNS TXT记录响应,利用此漏洞可造成堆缓冲区溢出。成功利用后可导致任意代码执行。要利用此漏洞需要通过中间人攻击注入任意DNS响应数据包。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.phphttps://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b

5 Symantec Web Gateway 多个跨站脚本漏洞

Symantec Web Gateway 多个跨站脚本漏洞

发布时间:

2014-06-17

漏洞编号:

BUGTRAQ ID: 67755CVE ID: CVE-2014-1652

漏洞描述:

Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。Symantec Web Gateway 5.2.1之前版本没有正确过滤用户输入在实现上存在多个跨站脚本漏洞,攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意脚本代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.symantec.com/business/security_response/

6 Symantec Web Gateway 'SNMPConfig.php' 远程命令注入漏洞

Symantec Web Gateway 'SNMPConfig.php' 远程命令注入漏洞

发布时间:

2014-06-16

漏洞编号:

BUGTRAQ ID: 67752CVE(CAN) ID: CVE-2013-5017

漏洞描述:

Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。Symantec Web Gateway 5.2.1版本存在远程命令注入漏洞,攻击者可利用这些漏洞在受影响设备上下文中以提升的权限执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.symantec.com/business/security_response/

7 Symantec Web Gateway SQL注入漏洞

Symantec Web Gateway SQL注入漏洞

发布时间:

2014-06-16

漏洞编号:

BUGTRAQ ID: 67754CVE ID: CVE-2014-1651 , CVE-2014-1650

漏洞描述:

Symantec Web Gateway 提供了网络内容过滤和强大的数据泄露防护功能。Symantec Web Gateway 5.2.1之前版本没有正确过滤用户输入在实现上存在多个SQL注入漏洞,攻击者可利用这些漏洞在下层数据库中执行未授权数据库操作。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.symantec.com/business/security_response/

8 Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞

3.8 Zend Framework 'Zend_Db_Select::order()' 函数SQL注入漏洞

发布时间:

2014-06-16

漏洞编号:

BUGTRAQ ID: 68031

漏洞描述:

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。Zend Framework 1.12.7之前版本没有正确过滤"Zend_Db_Select::order()"函数内的输入就将其用在SQL查询内,恶意用户通过注入任意SQL代码,可篡改SQL查询。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:<a href="http://framework.zend.com/security/advisory/" target="_blank" "="" style="text-decoration: none; color: rgb(68, 127, 180);">http://framework.zend.com/security/advisory/http://framework.zend.com/security/advisory/ZF2014-04

------------------------------

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-06-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏互联网杂技

总结Web应用中常用的各种Cache

cache是提高应用性能重要的一个环节,写篇文章总结一下用过的各种对于动态内容的cache。 文章以Nginx,Rails,Mysql,Redis作为例子,换...

38840
来自专栏架构师之路

假如让你来设计数据库中间件

13年底负责数据库中间件设计时的设计文档,拿出来和大家分享: 可以了解下数据库中间件技术 可以了解下架构师系统设计的思路 一、总体目标 数据库中间层项目背景不再...

53070
来自专栏北京马哥教育

学会用各种姿势备份MySQL数据库

前言 我们试着想一想, 在生产环境中什么最重要?如果我们服务器的硬件坏了可以维修或者换新, 软件问题可以修复或重新安装, 但是如果数据没了呢?这可能是最恐怖的事...

39480
来自专栏jiajia_deng

使用七牛云对象储存缓存 wordpress 静态文件加速网站

16560
来自专栏python3

diango使用数据库

之前写的页面,虽然和用户交互得很好,但并没有保存任何数据,页面一旦关闭,或服务器重启,一切都将回到原始状态。

15930
来自专栏数据和云

深入内核:监听器的工作原理与故障诊断分析

熊军(老熊) 云和恩墨西区总经理 Oracle ACED,ACOUG核心会员 在Oracle的官方文档《Oracle Database PerformanceT...

48170
来自专栏云计算教程系列

如何在Ubuntu上安装SELinux

Ubuntu有一个类似于SELinux的强制访问控制系统,名为AppArmor。SELinux(Security-Enhanced Linux) 是美国国家安全...

71810
来自专栏Web项目聚集地

Oracle 11g的安装(图文详解)

Web项目聚集地的小伙伴反应在Oracle的安装与配置有很多错误与疑点,便有了这篇文章,现在是晚上2点哈哈,加油加油,日后还会有更多技术栈的专栏。Orac...

15930
来自专栏程序猿

基于SSM框架搭建的项目,带你剖析MVC结构

“ 这是小的Demo是我部署用来教大家学MVC小例子的,搭建完成SSM框架,非常简单,使用了Spring/Spring MVC/MyBatis框架,数据库使用了...

17130
来自专栏云计算教程系列

如何在Ubuntu上安装ownCloud

ownCloud是一个自由且开源的个人云存储解决方案,包括两个部分:服务器和客户端。ownCloud 最早由KDE开发者Frank Karlitschek于20...

34540

扫码关注云+社区

领取腾讯云代金券