-
-
[旧帖] [安全资讯] 0.00雪花
-
发表于: 2013-10-18 21:05 1639
-
新闻链接:"]http://www.cert.org.cn/publish/main/upload/File/CNVD201340-41.pdf[/URL]
新闻时间:2013 年 09 月 30 日-2013 年 10 月 13 日
新闻正文: 国家信息安全漏洞共享平台(以下简称 CNVD)
本周共收集、整理信息安全漏洞277 个,其中高危漏洞 91 个、中危漏洞 158 个、低危漏洞 28 个。上述漏洞中,可利用来实施远程攻击的漏洞有 225 个。本周收录的漏洞中,已有 218 个漏洞由厂商提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。本周互联网上出现“WordPress Woopra Analytics 插件'ofc_upload_image.php'任意 PHP 代码执行漏洞”、“Apple Motion MOTN 文件 subview 属性处理整数溢出漏洞”等零日攻击代码,请使用相关产品的用户注意加强防范。成员单位报送漏洞统计本周,共 8 家成员单位及个人报送了本周收录的全部 277 个漏洞。各单位报送情况如表 1 所示。其中,启明星辰、天融信、绿盟科技、安天实验室等单位报送数量较多。此外,奇虎 360、知道创宇以及个人报送者向 CNVD 提交了 27 个原创漏洞。报送单位或个人 漏洞报送数量 原创漏洞数量
启明星辰 237 0
天融信 192 0
绿盟科技 119 0
安天实验室 99 0
恒安嘉新 18 0
东软 2 0
奇虎 360 1 1
国家信息安全漏洞共享平台(CNVD)
信息安全漏洞周报
2013 年 09 月 30 日-2013 年 10 月 13 日 2013年第40、41期合刊知道创宇 2 1
个人 25 25
报送总计 695 27
录入总计 277(去重) 27
表 1 成员单位上报漏洞统计表
CNVD 整理和发布的漏洞涉及 Cisco、IBM 、Microsoft 等多家厂商的产品,部分漏
洞数量按厂商统计如表 2 所示。
序号 厂商(产品) 漏洞数量 所占比例
1 Cisco 36 13%
2 IBM 34 12%
3 Microsoft 25 9%
4 FFmpeg 19 7%
5 Google 19 7%
6 wordpress 15 5%
7 Apple 6 2%
8 Red Hat 5 2%
9 Ubuntu 4 1%
10 Linux 2 1%
11 其它 112 41%
表 2 漏洞产品涉及厂商分布统计表
漏洞按影响类型统计
本周,CNVD 收录了 277 个漏洞。其中应用程序漏洞 194 个,WEB 应用漏洞 28 个,
操作系统漏洞 21 个,网络设备漏洞 27 个,数据库漏洞 7 个。
漏洞影响对象类型 漏洞数量
应用程序漏洞 194
WEB 应用漏洞 28
网络设备漏洞 27
操作系统漏洞 21
安全产品漏洞 0
数据库漏洞 7
表 3 漏洞按影响类型统计表 图 1 本周漏洞按影响类型分布
本周行业漏洞信息
本周,CNVD 收录了 63 个电信行业漏洞、6 个移动互联网行业漏洞和 5 个工控系
统行业漏洞(如下列表所示)。其中,12 个漏洞的综合评级均为“高危”。相关厂商已经
发布了漏洞修复程序。
行业 漏洞编号 漏洞标题
危险等
级
是否有补
丁
电信
CNVD-2013-13645
Cisco Unified Computing
System 本地命令注入漏洞
(CNVD-2013-13645) 中 是
电信
CNVD-2013-13654
Cisco Prime Central for HCS
'Credentials'信息泄露漏洞 中 是
电信
CNVD-2013-13656
Cisco Unified IP Phones 9900
Series 拒绝服务漏洞 中 是
电信
CNVD-2013-13657
Cisco IOS 和 IOS XE OSPF 拒
绝服务漏洞 中 是
电信
CNVD-2013-13660
TP-LINK TL-WDR4300 跨站
请求伪造漏洞 低 否
电信
CNVD-2013-13596
Cisco NX-OS 边界网关协议组
件拒绝服务漏洞 中 是
电信
CNVD-2013-13597
Cisco IOS Software DHCP
Server remember 功能拒绝服
务漏洞 中 是
电信 CNVD-2013-13598 Cisco Identity Services Engine 中 是盲注漏洞
电信
CNVD-2013-13599
Cisco Identity Services Engine
故障排除接口跨站脚本漏洞 中 是
电信
CNVD-2013-13600
Cisco Identity Services Engine
Sponsor Portal 跨帧脚本漏洞 中 是
电信
CNVD-2013-13632
MongoDB find prototype 拒绝
服务漏洞 中 是
电信
CNVD-2013-13628
Cisco Unified Computing
System 跨站请求伪造漏洞 中 是
电信
CNVD-2013-13497
Cisco NX-OS Software sed 任
意文件读写漏洞 中 是
电信
CNVD-2013-13501
Cisco NX-OS Software CLI 解
析器任意文件创建覆盖漏洞 中 是
电信
CNVD-2013-13499
Cisco NX-OS Software BGP 拒
绝服务漏洞 中 是
电信
CNVD-2013-13498
Cisco NX-OS Software BGP 拒
绝服务漏洞
(CNVD-2013-13498) 中 是
电信
CNVD-2013-13500
Cisco NX-OS Software 路由信
息协议拒绝服务漏洞 中 是
电信
CNVD-2013-13503
Cisco NX-OS Software 管道本
地命令执行漏洞 中 是
电信
CNVD-2013-13502
Cisco NX-OS Software 输入验
证本地命令执行漏洞 中 是
电信
CNVD-2013-13504
Cisco NX-OS Software 反引号
本地命令执行漏洞 中 是
电信
CNVD-2013-13505
Cisco NX-OS 'file name'参数任
意文件写漏洞 中 是
电信
CNVD-2013-13506
Cisco Nexus 7000 系列交换机
NX-OS 远程信息泄露漏洞 中 是
电信
CNVD-2013-13507
ASUS RT-N10E Wireless
Router 'QIS_finish.htm'密码信
息泄露漏洞 中 是
电信
CNVD-2013-13614
IBM Tivoli Storage Manager
Client dsmtca 缓冲区溢出特权
提升漏洞 高 是
电信
CNVD-2013-13612
多个 HP LaserJet Printers 存在
未明本地信息泄露漏洞 低 是
电信
CNVD-2013-13611
多个 HP LaserJet Printers PDF
加密漏洞 中 是
电信
CNVD-2013-13516
Cisco IOS XR 软件 UDP 报文
拒绝服务漏洞 高 是
电信
CNVD-2013-13520
IBM 多个产品存在未明访问
限制绕过漏洞 中 是(CNVD-2013-13520)
电信
CNVD-2013-13521
IBM 多个产品存在未明远程
特权提升漏洞
(CNVD-2013-13521) 低 是
电信
CNVD-2013-13522
IBM 多个产品存在未明远程
特权提升漏洞
(CNVD-2013-13522) 低 是
电信
CNVD-2013-13523
IBM 多个产品存在未明远程
特权提升漏洞
(CNVD-2013-13523) 中 是
电信
CNVD-2013-13524
IBM 多个产品未明本地信息
泄露漏洞 低 是
电信
CNVD-2013-13526
IBM 多个产品存在未明文件
包含漏洞 中 是
电信
CNVD-2013-13525
IBM 多个产品存在未明访问
限制绕过漏洞
(CNVD-2013-13525) 中 是
电信
CNVD-2013-13529
IBM 多个产品存在未明远程
信息泄露漏洞
(CNVD-2013-13529) 低 是
电信
CNVD-2013-13528
IBM 多个产品存在未明跨站
脚本漏洞 低 是
电信
CNVD-2013-13527
IBM 多个产品存在未明访问
验证绕过漏洞 低 是
电信
CNVD-2013-13531
IBM 多个产品存在未明远程
跨站脚本漏洞
(CNVD-2013-13531) 中 是
电信
CNVD-2013-13530
IBM 多个产品存在未明远程
SQL 注入漏洞
(CNVD-2013-13530) 中 是
电信
CNVD-2013-13532
IBM 多个产品存在未明远程
信息泄露漏洞
(CNVD-2013-13532) 低 是
电信
CNVD-2013-13533
IBM 多个产品存在未明远程
SQL 注入漏洞 中 是
电信
CNVD-2013-13535
IBM 多个产品存在未明访问
限制绕过漏洞 中 是
电信
CNVD-2013-13534
IBM 多个产品存在未明远程
信息泄露漏洞 低 是
电信
CNVD-2013-13536
IBM 多个产品存在未明远程
特权提升漏洞 中 是
电信
CNVD-2013-13537
IBM 多个产品存在未明远程
访问限制绕过漏洞 中 是
电信 CNVD-2013-13538 IBM 多个产品存在未明远程 低 是跨站脚本漏洞
电信
CNVD-2013-13546
Tenda W309R Router Cookie
验证绕过漏洞 中 否
电信
CNVD-2013-13553
Siemens SCALANCE X-200 交
换机 WEB 接口存在未明管理
访问漏洞 高 是
电信
CNVD-2013-13422
IBM DB2 / DB2 Connect Fast
Communications Manager 拒绝
服务漏洞 中 是
电信
CNVD-2013-13464
Cisco Unified Computing
System Fabric Interconnect
Interconnect run-script 命令注
入漏洞 中 是
电信
CNVD-2013-13463
Cisco Unified Computing
System Fabric Interconnect
create certreq 命令注入漏洞 中 是
电信
CNVD-2013-13466
Cisco Unified Computing
System Fabric Interconnect 目
录遍历漏洞 高 是
电信
CNVD-2013-13465
Cisco Unified Computing
System Fabric Interconnect
clear sshkey 命令注入漏洞 中 是
电信
CNVD-2013-13468
Cisco Unified Computing
System 基板管理控制器本地
任意命令执行漏洞 中 是
电信
CNVD-2013-13467
Cisco Unified Computing
System 激活固件本地任意命
令执行漏洞 中 是
电信
CNVD-2013-13469
Cisco Unified Computing
System Fabric Interconnect 本
地任意文件访问漏洞 中 是
电信
CNVD-2013-13471
Cisco TelePresence Multipoint
Switch (CTMS)远程拒绝服务
漏洞 中 是
电信
CNVD-2013-13476
ASUS RT-N66U 'apply.cgi'跨站
请求伪造漏洞 低 否
电信
CNVD-2013-13391
Cisco Unified Computing
System 本地任意命令执行漏
洞 高 是
电信
CNVD-2013-13392
IBM WebSphere DataPower
XC10 Appliance 未授权访问漏
洞 高 是
电信
CNVD-2013-13394
Cisco Identity Services Engine
跨站脚本漏洞 中 是(CNVD-2013-13394)
电信
CNVD-2013-13395
Cisco Identity Services Engine
跨站脚本漏洞 中 是
电信
CNVD-2013-13403
Cisco IOS 和 IOS XE DHCP 拒
绝服务漏洞 高 是
移动互联
网
CNVD-2013-13602
Apple iPhone Find My iPhone
功能安全绕过漏洞 中 否
移动互联
网
CNVD-2013-13610
Hide Photo+Video Safe Free
For iOS 存在多个漏洞 高 否
移动互联
网
CNVD-2013-13473
Byword for iOS 任意文件写漏
洞 中 是
移动互联
网
CNVD-2013-13486
Apple iOS Siri FaceTime 调用
终止锁屏绕过漏洞 中 否
移动互联
网
CNVD-2013-13407
Apple iOS 密码锁安全限制绕
过漏洞 中 是
移动互联
网
CNVD-2013-13402
Apple iOS 7 for iPhone 紧急呼
叫功能本地安全绕过漏洞 中 否
工控系统
CNVD-2013-13663
RSLinx Enterprise
'LogReceiver.exe'整数溢出拒
绝服务漏洞 高 是
工控系统
CNVD-2013-13664
RSLinx Enterprise
'LogReceiver.exe'整数溢出远
程拒绝服务漏洞 高 是
工控系统
CNVD-2013-13665
RSLinx Enterprise
'LogReceiver.exe'越界远程拒
绝服务漏洞 高 是
工控系统
CNVD-2013-13553
Siemens SCALANCE X-200 交
换机 WEB 接口存在未明管理
访问漏洞 高 是
工控系统
CNVD-2013-13485
Triangle Research Nano-10
PLC特制报文数据长度处理远
程拒绝服务漏洞 中 否图 1 电信行业漏洞统计
图 2 工控系统行业漏洞统计
图 3 移动互联网行业漏洞统计
本周重要漏洞信息
本周,CNVD 整理和发布以下重要安全漏洞信息。
1、Microsoft 产品安全漏洞
10 月 09 日,微软发布了 2013 年 10 月份的月度例行安全公告,共含 8 项更新,修
复了 Microsoft Windows、Internet Explorer、Office、SharePoint Server、Office Web Apps
和 Silverlight 软件中存在的 28 个安全漏洞。其中,MS13-080、MS13-081、MS13-082
和 MS13-083 项更新综合评级均为最高级“严重”级别(微软最高危险级别),剩余 4
项更新综合评级均为“重要”级别。利用上述漏洞,攻击者可以执行任意代码,获取敏
感信息。
CNVD 收 录 的 相 关 漏 洞 包 括 : Microsoft IE 存 在 未 明 内 存 破 坏 漏 洞
(CNVD-2013-13556、CNVD-2013-13557、CNVD-2013-13558、CNVD-2013-13559)、
Microsoft Windows Win32k.sys 存在未明内存错误引用本地权限提升漏洞、Microsoft
Windows Win32k.sys 存在未明内存错误引用本地权限提升漏洞、Microsoft Office Excel /
SharePoint Server 特制文件处理内存破坏漏洞、Microsoft Office Word 特制 Word 文件处
理内存破坏漏洞等。上述漏洞的综合评级均为“高危”。厂商已经发布了上述漏洞的修
补程序。CNVD 提醒广大 Microsoft 用户尽快下载补丁更新,避免引发漏洞相关的网络
安全事件。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2013-13556
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13557
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13558
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13559
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13565
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13566
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13572
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13575
2、Google Chrome 安全漏洞
Google Chrome 是一款 WEB 浏览器。本周,Google Chrome 被披露存在多个安全漏
洞,攻击者利用漏洞可导致应用程序崩溃或执行任意代码。
CNVD 收录的相关漏洞包括:Google Chrome 存在未明多个漏洞、Google Chrome
存在未明内存破坏漏洞、Google Chrome DOM 存在未明内存错误引用漏洞、Google
Chrome PPAPI 存在未明内存错误引用漏洞、Google Chrome Web Audio 内存错误引用漏
洞、Google Chrome Inline-Block 渲染存在未明内存错误引用漏洞、Google Chrome
Window.prototype 对象处理越界读漏洞、Google Chrome Web Audio 竞争条件漏洞等。其中,除“Google Chrome Window.prototype 对象处理越界读漏洞、Google Chrome Web
Audio 竞争条件漏洞”外,其余漏洞的综合评级均为“高危”。厂商已经发布了上述漏洞
的修补程序。CNVD 提醒 用户及时下载补丁更新,避免引发漏洞相关的安全事件。
参考链接: http://www.cnvd.org.cn/flaw/show/CNVD-2013-13425
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13429
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13430
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13436
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13438
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13439
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13441
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13442
3、Red Hat 产品安全漏洞
Red Hat CloudForms 是一款混合云管理软件;Red Hat JBoss Application Server 是一
款企业级应用程序平台,用于基于JBoss的应用开发;Red Hat JBoss Fuse和Red Hat JBoss
A-MQ 是红帽厂商提供的企业级中间件;Red Hat Enterprise MRG(Messaging Realtime
Grid)是美国红帽(Red Hat)公司的一套用于集成高性能计算(HPC)的 IT 基础架构
平台。本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可获得遍历目录序列
获得敏感信息,发起拒绝服务攻击,或执行任意 java 代码。
CNVD 收录的相关漏洞包括:Red Hat CloudForms Management Engine 存在多个目
录遍历漏洞、Red Hat JBoss Application Server 多个 Servlet 远程代码执行漏洞、Red Hat
JBoss Fuse 管理控制台跨站脚本漏洞、Red Hat Enterprise MRG Cumin 拒绝服务漏洞、
Red Hat Storage 存在多个不安全临时文件创建漏洞。其中,“Red Hat CloudForms
Management Engine存在多个目录遍历漏洞、Red Hat JBoss Application Server多个Servlet
远程代码执行漏洞”的综合评级均为“高危”。厂商已经发布了除“Red Hat JBoss
Application Server 多个 Servlet 远程代码执行漏洞”外其余漏洞的修补程序。CNVD 提醒
用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接 http://www.cnvd.org.cn/flaw/show/CNVD-2013-13636
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13658
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13637
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13648
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13647
4、Cisco 产品安全漏洞
Cisco Unified Computing System 是一个集计算、虚拟化和网络于一体的平台;Cisco
IOS 是多数思科系统路由器和网络交换机上使用的互联网络操作系统;Cisco Identity
Services Engine 是一款用于 Cisco TrustSec 解决方案的中央策略引擎。本周,上述产品被披露存在多个漏洞,攻击者利用漏洞可发起拒绝服务攻击,执行任意代码。
CNVD 收录的相关漏洞包括:Cisco Unified Computing System 本地任意命令执行漏
洞、Cisco IOS 和 IOS XE DHCP 拒绝服务漏洞、Cisco Identity Services Engine 跨站脚本
漏洞(CNVD-2013-13394)、Cisco Identity Services Engine 跨站脚本漏洞。其中“Cisco
Unified Computing System 本地任意命令执行漏洞、Cisco IOS 和 IOS XE DHCP 拒绝服务
漏洞”的综合评级均为“高危”。厂商已发布了上述漏洞的修补程序。CNVD 提醒相关
用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2013-13391
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13403
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13394
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13395
5、Apple Motion MOTN 文件 subview 属性处理整数溢出漏洞
Apple Motion 是一款 3D 动画设计软件。本周,该产品被披露存在一个综合评级为
“高危”的整数溢出漏洞。程序在处理 MOTN 文件 viewer 元素中的 subview 属性时对
用户输入缺少充分校验,攻击者可构建恶意文件,诱使应用程序解析,导致应用程序崩
溃或执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布
该漏洞的修补程序。CNVD 提醒广大用户随时关注厂商主页以获取最新版本。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2013-13601
更多高危漏洞如表 3 所示,详细信息可根据 CNVD 编号,在 CNVD 官网进行查询。
参考链接: http://www.cnvd.org.cn/flaw/list.htm
CNVD 编号 漏洞名称
综合
评级
修复方式
CNVD-201
3-13392
IBM WebSphere DataPower XC10
Appliance 未授权访问漏洞
高
用户可参考如下供应商提供的安全
公告获得补丁信息:
http://www-01.ibm.com/support/doc
view.wss?uid=swg21651098
CNVD-201
3-13398
Modoer SQL 注入漏洞 高 暂无
CNVD-201
3-13595
CMS Formulasi 存在多个漏洞 高 暂无
CNVD-201
3-13650
Restlet Framework 对象反序列化
远程执行代码漏洞
高
用户可参考如下供应商提供的安全
公告获得补丁信息:
https://github.com/restlet/restlet-fram
ework-java/issues/778
CNVD-201
3-13659
WordPress Woopra Analytics 插件
'ofc_upload_image.php'任意 PHP
代码执行漏洞
高 暂无CNVD-201
3-13651
Xinetd 远程代码执行漏洞 高
用户可参考如下供应商提供的安全
公告获得补丁信息:
http://rhn.redhat.com/errata/RHSA-2
013-1409.html
CNVD-201
3-13663
RSLinx Enterprise
'LogReceiver.exe'整数溢出拒绝服
务漏洞
高
用户可参考如下厂商提供的安全公
告获得补丁信息:
https://rockwellautomation.custhelp.c
om/app/answers/detail/a_id/537599
CNVD-201
3-13583
Adobe RoboHelp 存在未明内存破
坏漏洞
高
用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.adobe.com/support/security/bulletins/downloads/APSB13-24.zi
p
CNVD-201
3-13581
GestioIP ip_checkhost.cgi 'ip'命令
注入漏洞
高
用户可参考如下厂商提供的安全公
告获得补丁信息:
http://sourceforge.net/p/gestioip/gesti
oip/ci/ac67be9fce5ee4c0438d27dfa5
c1dcbca08c457c/
CNVD-201
3-13586
WHMCompleteSolution
(WHMCS)
/includes/dbfunctions.php SQL 注
入漏洞
高
用户可参考如下厂商提供的安全公
告获得补丁信息:
http://blog.whmcs.com/?t=79427
表 3 部分高危漏洞列表
小结:本周,微软发布了 2013 年 10 月份的月度例行安全公告,共含 8 项更新,修
复了 Microsoft Windows、Internet Explorer、Office、SharePoint Server、Office Web Apps
和 Silverlight 软件中存在的 28 个安全漏洞。攻击者利用漏洞可执行任意代码,获取敏感
信息。本周,Google Chrome 和 Red Hat、Cisco 的多款产品被披露存在多个漏洞,攻击
者利用漏洞可导致应用程序崩溃或执行任意代码。此外,Apple Motion 软件被披露存在
一个高危零日漏洞,建议相关用户应随时关注厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞修补信息
CNVD 整理和发布以下重要安全修补信息。
1、Adobe 发布升级程序,修补 RoboHelp 和 Reader / Acrobat 安全漏洞
Adobe RoboHelp Server 是一款为网站及内部网的桌面以及 Web 应用程序和知识库
提供帮助的系统;Adobe Reader/Acrobat 是处理 PDF 文件的应用程序。本周,Adobe 发
布升级程序,修补 RoboHelp 和 Reader / Acrobat 存在的漏洞。攻击者利用漏洞可导致应
用程序崩溃、执行任意代码。CNVD 已收录相关补丁,请广大用户及时下载更新,避免
引发漏洞相关的安全事件。
补丁下载链接:http://www.cnvd.org.cn/patchInfo/show/40096
http://www.cnvd.org.cn/patchInfo/show/40095本周要闻速递
1. 谷歌 Chrome 存重大安全漏洞
据国外媒体报道,安全公司 Identity Finder 近日曝光了谷歌 Chrome 浏览器的一个重
大安全漏洞,即明文存储敏感的个人数据。这一漏洞会在你在可信任网站或者 Chrome
浏览器地址栏上输入个人信息的时候开始活动。研究人员发现,Chrome 的缓存机制通
常会在你不知情或者未征求你同意的情况下在你的硬盘里明文存储名字、邮箱地址、住
址、手机号码、银行账号、社保号码、信用卡号等个人数据。这会使得能够访问你的电
脑的人可以轻松看到或者复制所有的这些敏感个人数据。更糟糕的是,通过诱导你在电
脑上植入数据窃取木马,作恶者也能够轻松获得你的敏感数据。
参考链接:http://tech.163.com/13/1012/08/9AVMUH74000915BF.html
2. 网传大批酒店开房记录被泄
昨日,一则如家、汉庭等大批酒店开房记录被泄露的消息在网上疯传。国内安全漏
洞监测平台乌云近日发布报告,称如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、
驿家 365 快捷酒店、东莞虎门东方索菲特酒店的开房记录被第三方存储,并且因为漏洞
而泄露,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏
感、隐私信息。业界人士认为,这或是黑客窃取完整个人信息的一个重要渠道。
参考链接:http://cd.qq.com/a/20131012/003009.htm
关于 CNVD
国家信息安全漏洞共享平台(China National Vulnerability Database,简称 CNVD)
是 CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商
和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏
洞收集、发布、验证、分析等应急处理体系。
关于 CNCERT
国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称(英文简称为
CNCERT 或 CNCERT/CC),成立于 1999 年 9 月,是一个非政府非盈利的网络安全技术
协调组织,主要任务是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,
开展中国互联网上网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公
共互联网环境的安全、保障基础信息网络和网上重要信息系统的安全运行。目前,
CNCERT 在我国大陆 31 个省、自治区、直辖市设有分中心。
同时,CNCERT 积极开展国际合作,是中国处理网络安全事件的对外窗口。CNCERT
是国际著名网络安全合作组织 FIRST 正式成员,也是 APCERT 的发起人之一,致力于
构建跨境网络安全事件的快速响应和协调处置机制。截止 2012 年,CNCERT 与 51 个国
家和地区的 91 个组织建立了“CNCERT 国际合作伙伴”关系。网址:www.cert.org.cn
邮箱:vreport@cert.org.cn
电话:010-82990999
新闻时间:2013 年 09 月 30 日-2013 年 10 月 13 日
新闻正文: 国家信息安全漏洞共享平台(以下简称 CNVD)
本周共收集、整理信息安全漏洞277 个,其中高危漏洞 91 个、中危漏洞 158 个、低危漏洞 28 个。上述漏洞中,可利用来实施远程攻击的漏洞有 225 个。本周收录的漏洞中,已有 218 个漏洞由厂商提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。本周互联网上出现“WordPress Woopra Analytics 插件'ofc_upload_image.php'任意 PHP 代码执行漏洞”、“Apple Motion MOTN 文件 subview 属性处理整数溢出漏洞”等零日攻击代码,请使用相关产品的用户注意加强防范。成员单位报送漏洞统计本周,共 8 家成员单位及个人报送了本周收录的全部 277 个漏洞。各单位报送情况如表 1 所示。其中,启明星辰、天融信、绿盟科技、安天实验室等单位报送数量较多。此外,奇虎 360、知道创宇以及个人报送者向 CNVD 提交了 27 个原创漏洞。报送单位或个人 漏洞报送数量 原创漏洞数量
启明星辰 237 0
天融信 192 0
绿盟科技 119 0
安天实验室 99 0
恒安嘉新 18 0
东软 2 0
奇虎 360 1 1
国家信息安全漏洞共享平台(CNVD)
信息安全漏洞周报
2013 年 09 月 30 日-2013 年 10 月 13 日 2013年第40、41期合刊知道创宇 2 1
个人 25 25
报送总计 695 27
录入总计 277(去重) 27
表 1 成员单位上报漏洞统计表
CNVD 整理和发布的漏洞涉及 Cisco、IBM 、Microsoft 等多家厂商的产品,部分漏
洞数量按厂商统计如表 2 所示。
序号 厂商(产品) 漏洞数量 所占比例
1 Cisco 36 13%
2 IBM 34 12%
3 Microsoft 25 9%
4 FFmpeg 19 7%
5 Google 19 7%
6 wordpress 15 5%
7 Apple 6 2%
8 Red Hat 5 2%
9 Ubuntu 4 1%
10 Linux 2 1%
11 其它 112 41%
表 2 漏洞产品涉及厂商分布统计表
漏洞按影响类型统计
本周,CNVD 收录了 277 个漏洞。其中应用程序漏洞 194 个,WEB 应用漏洞 28 个,
操作系统漏洞 21 个,网络设备漏洞 27 个,数据库漏洞 7 个。
漏洞影响对象类型 漏洞数量
应用程序漏洞 194
WEB 应用漏洞 28
网络设备漏洞 27
操作系统漏洞 21
安全产品漏洞 0
数据库漏洞 7
表 3 漏洞按影响类型统计表 图 1 本周漏洞按影响类型分布
本周行业漏洞信息
本周,CNVD 收录了 63 个电信行业漏洞、6 个移动互联网行业漏洞和 5 个工控系
统行业漏洞(如下列表所示)。其中,12 个漏洞的综合评级均为“高危”。相关厂商已经
发布了漏洞修复程序。
行业 漏洞编号 漏洞标题
危险等
级
是否有补
丁
电信
CNVD-2013-13645
Cisco Unified Computing
System 本地命令注入漏洞
(CNVD-2013-13645) 中 是
电信
CNVD-2013-13654
Cisco Prime Central for HCS
'Credentials'信息泄露漏洞 中 是
电信
CNVD-2013-13656
Cisco Unified IP Phones 9900
Series 拒绝服务漏洞 中 是
电信
CNVD-2013-13657
Cisco IOS 和 IOS XE OSPF 拒
绝服务漏洞 中 是
电信
CNVD-2013-13660
TP-LINK TL-WDR4300 跨站
请求伪造漏洞 低 否
电信
CNVD-2013-13596
Cisco NX-OS 边界网关协议组
件拒绝服务漏洞 中 是
电信
CNVD-2013-13597
Cisco IOS Software DHCP
Server remember 功能拒绝服
务漏洞 中 是
电信 CNVD-2013-13598 Cisco Identity Services Engine 中 是盲注漏洞
电信
CNVD-2013-13599
Cisco Identity Services Engine
故障排除接口跨站脚本漏洞 中 是
电信
CNVD-2013-13600
Cisco Identity Services Engine
Sponsor Portal 跨帧脚本漏洞 中 是
电信
CNVD-2013-13632
MongoDB find prototype 拒绝
服务漏洞 中 是
电信
CNVD-2013-13628
Cisco Unified Computing
System 跨站请求伪造漏洞 中 是
电信
CNVD-2013-13497
Cisco NX-OS Software sed 任
意文件读写漏洞 中 是
电信
CNVD-2013-13501
Cisco NX-OS Software CLI 解
析器任意文件创建覆盖漏洞 中 是
电信
CNVD-2013-13499
Cisco NX-OS Software BGP 拒
绝服务漏洞 中 是
电信
CNVD-2013-13498
Cisco NX-OS Software BGP 拒
绝服务漏洞
(CNVD-2013-13498) 中 是
电信
CNVD-2013-13500
Cisco NX-OS Software 路由信
息协议拒绝服务漏洞 中 是
电信
CNVD-2013-13503
Cisco NX-OS Software 管道本
地命令执行漏洞 中 是
电信
CNVD-2013-13502
Cisco NX-OS Software 输入验
证本地命令执行漏洞 中 是
电信
CNVD-2013-13504
Cisco NX-OS Software 反引号
本地命令执行漏洞 中 是
电信
CNVD-2013-13505
Cisco NX-OS 'file name'参数任
意文件写漏洞 中 是
电信
CNVD-2013-13506
Cisco Nexus 7000 系列交换机
NX-OS 远程信息泄露漏洞 中 是
电信
CNVD-2013-13507
ASUS RT-N10E Wireless
Router 'QIS_finish.htm'密码信
息泄露漏洞 中 是
电信
CNVD-2013-13614
IBM Tivoli Storage Manager
Client dsmtca 缓冲区溢出特权
提升漏洞 高 是
电信
CNVD-2013-13612
多个 HP LaserJet Printers 存在
未明本地信息泄露漏洞 低 是
电信
CNVD-2013-13611
多个 HP LaserJet Printers PDF
加密漏洞 中 是
电信
CNVD-2013-13516
Cisco IOS XR 软件 UDP 报文
拒绝服务漏洞 高 是
电信
CNVD-2013-13520
IBM 多个产品存在未明访问
限制绕过漏洞 中 是(CNVD-2013-13520)
电信
CNVD-2013-13521
IBM 多个产品存在未明远程
特权提升漏洞
(CNVD-2013-13521) 低 是
电信
CNVD-2013-13522
IBM 多个产品存在未明远程
特权提升漏洞
(CNVD-2013-13522) 低 是
电信
CNVD-2013-13523
IBM 多个产品存在未明远程
特权提升漏洞
(CNVD-2013-13523) 中 是
电信
CNVD-2013-13524
IBM 多个产品未明本地信息
泄露漏洞 低 是
电信
CNVD-2013-13526
IBM 多个产品存在未明文件
包含漏洞 中 是
电信
CNVD-2013-13525
IBM 多个产品存在未明访问
限制绕过漏洞
(CNVD-2013-13525) 中 是
电信
CNVD-2013-13529
IBM 多个产品存在未明远程
信息泄露漏洞
(CNVD-2013-13529) 低 是
电信
CNVD-2013-13528
IBM 多个产品存在未明跨站
脚本漏洞 低 是
电信
CNVD-2013-13527
IBM 多个产品存在未明访问
验证绕过漏洞 低 是
电信
CNVD-2013-13531
IBM 多个产品存在未明远程
跨站脚本漏洞
(CNVD-2013-13531) 中 是
电信
CNVD-2013-13530
IBM 多个产品存在未明远程
SQL 注入漏洞
(CNVD-2013-13530) 中 是
电信
CNVD-2013-13532
IBM 多个产品存在未明远程
信息泄露漏洞
(CNVD-2013-13532) 低 是
电信
CNVD-2013-13533
IBM 多个产品存在未明远程
SQL 注入漏洞 中 是
电信
CNVD-2013-13535
IBM 多个产品存在未明访问
限制绕过漏洞 中 是
电信
CNVD-2013-13534
IBM 多个产品存在未明远程
信息泄露漏洞 低 是
电信
CNVD-2013-13536
IBM 多个产品存在未明远程
特权提升漏洞 中 是
电信
CNVD-2013-13537
IBM 多个产品存在未明远程
访问限制绕过漏洞 中 是
电信 CNVD-2013-13538 IBM 多个产品存在未明远程 低 是跨站脚本漏洞
电信
CNVD-2013-13546
Tenda W309R Router Cookie
验证绕过漏洞 中 否
电信
CNVD-2013-13553
Siemens SCALANCE X-200 交
换机 WEB 接口存在未明管理
访问漏洞 高 是
电信
CNVD-2013-13422
IBM DB2 / DB2 Connect Fast
Communications Manager 拒绝
服务漏洞 中 是
电信
CNVD-2013-13464
Cisco Unified Computing
System Fabric Interconnect
Interconnect run-script 命令注
入漏洞 中 是
电信
CNVD-2013-13463
Cisco Unified Computing
System Fabric Interconnect
create certreq 命令注入漏洞 中 是
电信
CNVD-2013-13466
Cisco Unified Computing
System Fabric Interconnect 目
录遍历漏洞 高 是
电信
CNVD-2013-13465
Cisco Unified Computing
System Fabric Interconnect
clear sshkey 命令注入漏洞 中 是
电信
CNVD-2013-13468
Cisco Unified Computing
System 基板管理控制器本地
任意命令执行漏洞 中 是
电信
CNVD-2013-13467
Cisco Unified Computing
System 激活固件本地任意命
令执行漏洞 中 是
电信
CNVD-2013-13469
Cisco Unified Computing
System Fabric Interconnect 本
地任意文件访问漏洞 中 是
电信
CNVD-2013-13471
Cisco TelePresence Multipoint
Switch (CTMS)远程拒绝服务
漏洞 中 是
电信
CNVD-2013-13476
ASUS RT-N66U 'apply.cgi'跨站
请求伪造漏洞 低 否
电信
CNVD-2013-13391
Cisco Unified Computing
System 本地任意命令执行漏
洞 高 是
电信
CNVD-2013-13392
IBM WebSphere DataPower
XC10 Appliance 未授权访问漏
洞 高 是
电信
CNVD-2013-13394
Cisco Identity Services Engine
跨站脚本漏洞 中 是(CNVD-2013-13394)
电信
CNVD-2013-13395
Cisco Identity Services Engine
跨站脚本漏洞 中 是
电信
CNVD-2013-13403
Cisco IOS 和 IOS XE DHCP 拒
绝服务漏洞 高 是
移动互联
网
CNVD-2013-13602
Apple iPhone Find My iPhone
功能安全绕过漏洞 中 否
移动互联
网
CNVD-2013-13610
Hide Photo+Video Safe Free
For iOS 存在多个漏洞 高 否
移动互联
网
CNVD-2013-13473
Byword for iOS 任意文件写漏
洞 中 是
移动互联
网
CNVD-2013-13486
Apple iOS Siri FaceTime 调用
终止锁屏绕过漏洞 中 否
移动互联
网
CNVD-2013-13407
Apple iOS 密码锁安全限制绕
过漏洞 中 是
移动互联
网
CNVD-2013-13402
Apple iOS 7 for iPhone 紧急呼
叫功能本地安全绕过漏洞 中 否
工控系统
CNVD-2013-13663
RSLinx Enterprise
'LogReceiver.exe'整数溢出拒
绝服务漏洞 高 是
工控系统
CNVD-2013-13664
RSLinx Enterprise
'LogReceiver.exe'整数溢出远
程拒绝服务漏洞 高 是
工控系统
CNVD-2013-13665
RSLinx Enterprise
'LogReceiver.exe'越界远程拒
绝服务漏洞 高 是
工控系统
CNVD-2013-13553
Siemens SCALANCE X-200 交
换机 WEB 接口存在未明管理
访问漏洞 高 是
工控系统
CNVD-2013-13485
Triangle Research Nano-10
PLC特制报文数据长度处理远
程拒绝服务漏洞 中 否图 1 电信行业漏洞统计
图 2 工控系统行业漏洞统计
图 3 移动互联网行业漏洞统计
本周重要漏洞信息
本周,CNVD 整理和发布以下重要安全漏洞信息。
1、Microsoft 产品安全漏洞
10 月 09 日,微软发布了 2013 年 10 月份的月度例行安全公告,共含 8 项更新,修
复了 Microsoft Windows、Internet Explorer、Office、SharePoint Server、Office Web Apps
和 Silverlight 软件中存在的 28 个安全漏洞。其中,MS13-080、MS13-081、MS13-082
和 MS13-083 项更新综合评级均为最高级“严重”级别(微软最高危险级别),剩余 4
项更新综合评级均为“重要”级别。利用上述漏洞,攻击者可以执行任意代码,获取敏
感信息。
CNVD 收 录 的 相 关 漏 洞 包 括 : Microsoft IE 存 在 未 明 内 存 破 坏 漏 洞
(CNVD-2013-13556、CNVD-2013-13557、CNVD-2013-13558、CNVD-2013-13559)、
Microsoft Windows Win32k.sys 存在未明内存错误引用本地权限提升漏洞、Microsoft
Windows Win32k.sys 存在未明内存错误引用本地权限提升漏洞、Microsoft Office Excel /
SharePoint Server 特制文件处理内存破坏漏洞、Microsoft Office Word 特制 Word 文件处
理内存破坏漏洞等。上述漏洞的综合评级均为“高危”。厂商已经发布了上述漏洞的修
补程序。CNVD 提醒广大 Microsoft 用户尽快下载补丁更新,避免引发漏洞相关的网络
安全事件。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2013-13556
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13557
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13558
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13559
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13565
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13566
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13572
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13575
2、Google Chrome 安全漏洞
Google Chrome 是一款 WEB 浏览器。本周,Google Chrome 被披露存在多个安全漏
洞,攻击者利用漏洞可导致应用程序崩溃或执行任意代码。
CNVD 收录的相关漏洞包括:Google Chrome 存在未明多个漏洞、Google Chrome
存在未明内存破坏漏洞、Google Chrome DOM 存在未明内存错误引用漏洞、Google
Chrome PPAPI 存在未明内存错误引用漏洞、Google Chrome Web Audio 内存错误引用漏
洞、Google Chrome Inline-Block 渲染存在未明内存错误引用漏洞、Google Chrome
Window.prototype 对象处理越界读漏洞、Google Chrome Web Audio 竞争条件漏洞等。其中,除“Google Chrome Window.prototype 对象处理越界读漏洞、Google Chrome Web
Audio 竞争条件漏洞”外,其余漏洞的综合评级均为“高危”。厂商已经发布了上述漏洞
的修补程序。CNVD 提醒 用户及时下载补丁更新,避免引发漏洞相关的安全事件。
参考链接: http://www.cnvd.org.cn/flaw/show/CNVD-2013-13425
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13429
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13430
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13436
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13438
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13439
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13441
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13442
3、Red Hat 产品安全漏洞
Red Hat CloudForms 是一款混合云管理软件;Red Hat JBoss Application Server 是一
款企业级应用程序平台,用于基于JBoss的应用开发;Red Hat JBoss Fuse和Red Hat JBoss
A-MQ 是红帽厂商提供的企业级中间件;Red Hat Enterprise MRG(Messaging Realtime
Grid)是美国红帽(Red Hat)公司的一套用于集成高性能计算(HPC)的 IT 基础架构
平台。本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可获得遍历目录序列
获得敏感信息,发起拒绝服务攻击,或执行任意 java 代码。
CNVD 收录的相关漏洞包括:Red Hat CloudForms Management Engine 存在多个目
录遍历漏洞、Red Hat JBoss Application Server 多个 Servlet 远程代码执行漏洞、Red Hat
JBoss Fuse 管理控制台跨站脚本漏洞、Red Hat Enterprise MRG Cumin 拒绝服务漏洞、
Red Hat Storage 存在多个不安全临时文件创建漏洞。其中,“Red Hat CloudForms
Management Engine存在多个目录遍历漏洞、Red Hat JBoss Application Server多个Servlet
远程代码执行漏洞”的综合评级均为“高危”。厂商已经发布了除“Red Hat JBoss
Application Server 多个 Servlet 远程代码执行漏洞”外其余漏洞的修补程序。CNVD 提醒
用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接 http://www.cnvd.org.cn/flaw/show/CNVD-2013-13636
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13658
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13637
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13648
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13647
4、Cisco 产品安全漏洞
Cisco Unified Computing System 是一个集计算、虚拟化和网络于一体的平台;Cisco
IOS 是多数思科系统路由器和网络交换机上使用的互联网络操作系统;Cisco Identity
Services Engine 是一款用于 Cisco TrustSec 解决方案的中央策略引擎。本周,上述产品被披露存在多个漏洞,攻击者利用漏洞可发起拒绝服务攻击,执行任意代码。
CNVD 收录的相关漏洞包括:Cisco Unified Computing System 本地任意命令执行漏
洞、Cisco IOS 和 IOS XE DHCP 拒绝服务漏洞、Cisco Identity Services Engine 跨站脚本
漏洞(CNVD-2013-13394)、Cisco Identity Services Engine 跨站脚本漏洞。其中“Cisco
Unified Computing System 本地任意命令执行漏洞、Cisco IOS 和 IOS XE DHCP 拒绝服务
漏洞”的综合评级均为“高危”。厂商已发布了上述漏洞的修补程序。CNVD 提醒相关
用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2013-13391
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13403
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13394
http://www.cnvd.org.cn/flaw/show/CNVD-2013-13395
5、Apple Motion MOTN 文件 subview 属性处理整数溢出漏洞
Apple Motion 是一款 3D 动画设计软件。本周,该产品被披露存在一个综合评级为
“高危”的整数溢出漏洞。程序在处理 MOTN 文件 viewer 元素中的 subview 属性时对
用户输入缺少充分校验,攻击者可构建恶意文件,诱使应用程序解析,导致应用程序崩
溃或执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布
该漏洞的修补程序。CNVD 提醒广大用户随时关注厂商主页以获取最新版本。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2013-13601
更多高危漏洞如表 3 所示,详细信息可根据 CNVD 编号,在 CNVD 官网进行查询。
参考链接: http://www.cnvd.org.cn/flaw/list.htm
CNVD 编号 漏洞名称
综合
评级
修复方式
CNVD-201
3-13392
IBM WebSphere DataPower XC10
Appliance 未授权访问漏洞
高
用户可参考如下供应商提供的安全
公告获得补丁信息:
http://www-01.ibm.com/support/doc
view.wss?uid=swg21651098
CNVD-201
3-13398
Modoer SQL 注入漏洞 高 暂无
CNVD-201
3-13595
CMS Formulasi 存在多个漏洞 高 暂无
CNVD-201
3-13650
Restlet Framework 对象反序列化
远程执行代码漏洞
高
用户可参考如下供应商提供的安全
公告获得补丁信息:
https://github.com/restlet/restlet-fram
ework-java/issues/778
CNVD-201
3-13659
WordPress Woopra Analytics 插件
'ofc_upload_image.php'任意 PHP
代码执行漏洞
高 暂无CNVD-201
3-13651
Xinetd 远程代码执行漏洞 高
用户可参考如下供应商提供的安全
公告获得补丁信息:
http://rhn.redhat.com/errata/RHSA-2
013-1409.html
CNVD-201
3-13663
RSLinx Enterprise
'LogReceiver.exe'整数溢出拒绝服
务漏洞
高
用户可参考如下厂商提供的安全公
告获得补丁信息:
https://rockwellautomation.custhelp.c
om/app/answers/detail/a_id/537599
CNVD-201
3-13583
Adobe RoboHelp 存在未明内存破
坏漏洞
高
用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.adobe.com/support/security/bulletins/downloads/APSB13-24.zi
p
CNVD-201
3-13581
GestioIP ip_checkhost.cgi 'ip'命令
注入漏洞
高
用户可参考如下厂商提供的安全公
告获得补丁信息:
http://sourceforge.net/p/gestioip/gesti
oip/ci/ac67be9fce5ee4c0438d27dfa5
c1dcbca08c457c/
CNVD-201
3-13586
WHMCompleteSolution
(WHMCS)
/includes/dbfunctions.php SQL 注
入漏洞
高
用户可参考如下厂商提供的安全公
告获得补丁信息:
http://blog.whmcs.com/?t=79427
表 3 部分高危漏洞列表
小结:本周,微软发布了 2013 年 10 月份的月度例行安全公告,共含 8 项更新,修
复了 Microsoft Windows、Internet Explorer、Office、SharePoint Server、Office Web Apps
和 Silverlight 软件中存在的 28 个安全漏洞。攻击者利用漏洞可执行任意代码,获取敏感
信息。本周,Google Chrome 和 Red Hat、Cisco 的多款产品被披露存在多个漏洞,攻击
者利用漏洞可导致应用程序崩溃或执行任意代码。此外,Apple Motion 软件被披露存在
一个高危零日漏洞,建议相关用户应随时关注厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞修补信息
CNVD 整理和发布以下重要安全修补信息。
1、Adobe 发布升级程序,修补 RoboHelp 和 Reader / Acrobat 安全漏洞
Adobe RoboHelp Server 是一款为网站及内部网的桌面以及 Web 应用程序和知识库
提供帮助的系统;Adobe Reader/Acrobat 是处理 PDF 文件的应用程序。本周,Adobe 发
布升级程序,修补 RoboHelp 和 Reader / Acrobat 存在的漏洞。攻击者利用漏洞可导致应
用程序崩溃、执行任意代码。CNVD 已收录相关补丁,请广大用户及时下载更新,避免
引发漏洞相关的安全事件。
补丁下载链接:http://www.cnvd.org.cn/patchInfo/show/40096
http://www.cnvd.org.cn/patchInfo/show/40095本周要闻速递
1. 谷歌 Chrome 存重大安全漏洞
据国外媒体报道,安全公司 Identity Finder 近日曝光了谷歌 Chrome 浏览器的一个重
大安全漏洞,即明文存储敏感的个人数据。这一漏洞会在你在可信任网站或者 Chrome
浏览器地址栏上输入个人信息的时候开始活动。研究人员发现,Chrome 的缓存机制通
常会在你不知情或者未征求你同意的情况下在你的硬盘里明文存储名字、邮箱地址、住
址、手机号码、银行账号、社保号码、信用卡号等个人数据。这会使得能够访问你的电
脑的人可以轻松看到或者复制所有的这些敏感个人数据。更糟糕的是,通过诱导你在电
脑上植入数据窃取木马,作恶者也能够轻松获得你的敏感数据。
参考链接:http://tech.163.com/13/1012/08/9AVMUH74000915BF.html
2. 网传大批酒店开房记录被泄
昨日,一则如家、汉庭等大批酒店开房记录被泄露的消息在网上疯传。国内安全漏
洞监测平台乌云近日发布报告,称如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、
驿家 365 快捷酒店、东莞虎门东方索菲特酒店的开房记录被第三方存储,并且因为漏洞
而泄露,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏
感、隐私信息。业界人士认为,这或是黑客窃取完整个人信息的一个重要渠道。
参考链接:http://cd.qq.com/a/20131012/003009.htm
关于 CNVD
国家信息安全漏洞共享平台(China National Vulnerability Database,简称 CNVD)
是 CNCERT 联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商
和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏
洞收集、发布、验证、分析等应急处理体系。
关于 CNCERT
国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称(英文简称为
CNCERT 或 CNCERT/CC),成立于 1999 年 9 月,是一个非政府非盈利的网络安全技术
协调组织,主要任务是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,
开展中国互联网上网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公
共互联网环境的安全、保障基础信息网络和网上重要信息系统的安全运行。目前,
CNCERT 在我国大陆 31 个省、自治区、直辖市设有分中心。
同时,CNCERT 积极开展国际合作,是中国处理网络安全事件的对外窗口。CNCERT
是国际著名网络安全合作组织 FIRST 正式成员,也是 APCERT 的发起人之一,致力于
构建跨境网络安全事件的快速响应和协调处置机制。截止 2012 年,CNCERT 与 51 个国
家和地区的 91 个组织建立了“CNCERT 国际合作伙伴”关系。网址:www.cert.org.cn
邮箱:vreport@cert.org.cn
电话:010-82990999
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
|
|
|---|---|
|
|
赞赏
雪币:
留言:
