国家信息安全漏洞共享平台(CNVD)
信息安全漏洞周报
2016年06月27日-2016年07月03日
2016年第27期
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞118个,其中高危漏洞21个、中危漏洞93个、低危漏洞4个。
漏洞平均分值为5.81分。
本周收录的漏洞中,涉及0day漏洞10个(占8%)。
其中互联网上出现“MileSightcamera默认SSHroot用户漏洞、MileSightcamera权限控制页面非授权访问漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数518个,与上周(1091个)环比下降53%。
图1CNVD收录漏洞近10周平均分值分布图 本周漏洞报送情况统计 本周,共6家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部118个漏洞。
报送情况如表1所示。
其中,天融信、安天实验室、启明星辰、恒安嘉新等单位报送数量较多。
补天平台、乌云、漏洞盒子、西安四叶草信息技术有限公司、腾讯玄武实验室、福建六壬网安股份有限公司及其他个人白帽子向CNVD提交了518个以 事件型漏洞为主的原创漏洞。
报送单位或个人 漏洞报送数量 原创漏洞数量 天融信 183
0 安天实验室 162
0 启明星辰 101
0 恒安嘉新 87 11 中国电信集团系统集 成有限责任公司 33
0 H3C
8 0 乌云 377 377 漏洞盒子 40 40 西安四叶草信息技术 有限公司 77 77 腾讯玄武实验室
5 5 福建六壬网安股份有 限公司
4 4 CNCERT
广西分中心
1 1 个人
3 3 报送总计 1081 518 录入总计 118(去重) 518 表1成员单位上报漏洞统计表 本周漏洞按类型和厂商统计 本周,CNVD收录了118个漏洞。
其中应用程序漏洞75个,web应用漏洞13个, 网络设备漏洞12个,安全产品漏洞10个,操作系统漏洞8个。
漏洞影响对象类型 漏洞数量 应用程序漏洞 75 web应用漏洞 13 网络设备漏洞 12 安全产品漏洞 10 操作系统漏洞
8 表2漏洞按影响类型统计表 图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Pidgin、WordPress、phpMyAdmin等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
序号 厂商(产品) 漏洞数量 所占比例
1 Pidgin 16 14%
2 WordPress 11 9%
3 phpMyAdmin 10 8%
4 Symantec
8 7%
5 Linux
8 7%
6 PHP
7 6%
7 Open-Xchange
6 5%
8 MileSight
5 4%
9 IBM
4 3% 10 其他 43 37% 表
3漏洞产品涉及厂商分布统计表 本周行业漏洞收录情况 本周,CNVD收录了5个电信行业漏洞,1个移动互联网行业漏洞,1个工控系统 行业漏洞(如下图所示)。
其中,“UnitronicsVisiLogicOPLCIDE栈缓冲区溢出漏洞”的综合评级为“高危”。
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:/移动互联网行业漏洞链接:/工控系统行业漏洞链接:/ 图3电信行业漏洞统计 图4移动互联网行业漏洞统计 图5工控系统行业漏洞统计 本周本周重要漏洞安全告警 本周,CNVD整理和发布以下重要安全漏洞信息。
1、Pidgin产品安全漏洞 Pidgin是一款跨平台的实时通信客户端。
本周,该产品被披露存在缓冲区溢出和拒绝服务漏洞,攻击者可利用漏洞进行跨站脚本攻击和发起拒绝服务攻击。
CNVD收录的相关漏洞包括:PidginMXIT协议缓冲区溢出漏洞(CNVD-2016-04339、CNVD-2016-04340、CNVD-2016-04347)、PidginMXIT协议拒绝服务漏洞、PidginMXIT协议拒绝服务漏洞(CNVD-2016-04334、CNVD-2016-04335、CNVD-2016-04336、CNVD-2016-04337)等。
其中,“PidginMXIT协议缓冲区溢出漏洞(CNVD-201604347)”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04339 /flaw/show/CNVD-2016-04340/flaw/show/CNVD-2016-04347/flaw/show/CNVD-2016-04315/flaw/show/CNVD-2016-04334/flaw/show/CNVD-2016-04335/flaw/show/CNVD-2016-04336/flaw/show/CNVD-2016-043372、WordPress产品安全漏洞WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。
本周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息泄露、进行跨站攻 击、执行未授权操作和发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:WordPress信息泄露漏洞(CNVD-2016-04364)、Wor dPress跨站脚本漏洞(CNVD-2016-04365、CNVD-2016-04366)、WordPress重定向绕过漏洞、WordPress拒绝服务漏洞(CNVD-2016-04363)、WordPressCollneWelcarte-Commerce插件跨站脚本漏洞、WordPress未授权操作漏洞、WordPress密码更改漏洞等。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04364 /flaw/show/CNVD-2016-04365/flaw/show/CNVD-2016-04366/flaw/show/CNVD-2016-04367/flaw/show/CNVD-2016-04363/flaw/show/CNVD-2016-04349/flaw/show/CNVD-2016-04319/flaw/show/CNVD-2016-043143、phpMyAdmin产品安全漏洞phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。
本周,该产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击、执行任意代码和发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:phpMyAdmin跨站请求伪造漏洞、phpMyAdmin任意代码执行漏洞、phpMyAdmin跨站脚本漏洞(CNVD-2016-04396、CNVD-2016-04395、CNVD-2016-04394)、phpMyAdminSQL注入漏洞、phpMyAdmin表结构页跨站脚本漏洞、phpMyAdmin拒绝服务漏洞等。
其中,“phpMyAdmin任意代码执行漏洞”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04398/flaw/show/CNVD-2016-04397/flaw/show/CNVD-2016-04396/flaw/show/CNVD-2016-04395/flaw/show/CNVD-2016-04394/flaw/show/CNVD-2016-04311/flaw/show/CNVD-2016-04310/flaw/show/CNVD-2016-043074、Symantec产品安全漏洞SymantecEndpointProtection(SEP)是美国赛门铁克(Symantec)公司的一套防 病毒软件。
SEPManager和Client是其中的管理端和客户端软件。
本周,上述产品被披 露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息和实施跨站脚本攻击等。
CNVD收录的相关漏洞包括:SymantecEndpointProtectionManager和Client服务 器端请求伪造漏洞、SymantecEndpointProtectionManager跨站脚本漏洞(CNVD-201 6-04421)、SymantecEndpointProtectionManager跨站请求伪造漏洞、SymantecEndpo intProtectionManager和Client开放重定向漏洞、SymantecEndpointProtectionManag er和Client设计漏洞、SymantecEndpointProtectionManager和Client信息泄露漏洞、 SymantecEndpointProtectionManager和Client目录遍历漏洞、SymantecEndpointPr otectionClient竞争条件漏洞。
其中,“SymantecEndpointProtectionManager跨站请求 伪造漏洞”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNV D提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04422 /flaw/show/CNVD-2016-04421 /flaw/show/CNVD-2016-04420 /flaw/show/CNVD-2016-04419 /flaw/show/CNVD-2016-04418 /flaw/show/CNVD-2016-04416 /flaw/show/CNVD-2016-04415 /flaw/show/CNVD-2016-04417
5、Netgear
设备web界面登录密码泄露漏洞 Netgear是全球领先的企业网络解决方案,及数字家庭网络应用倡导者。
本周,Net gear被披露存在密码泄露漏洞。
允许攻击者利用漏洞获取管理界面登录密码。
目前,厂 商尚未发布该漏洞的修补程序。
CNVD提醒广大用户随时关注厂商主页,以获取最新版 本。
参考链接:/flaw/show/CNVD-2016-04399 更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。
参考链接: CNVD编号 漏洞名称 综合评级 TrendMicroDeepDiscoveryho CNVD-201tfix_upload.cgi文档名称远程代码高 6-04313 执行漏洞 CNVD-201UnitronicsVisiLogicOPLCIDE高 6-04321 栈缓冲区溢出漏洞 修复方式 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:/solution/en-US/1114281.aspx目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页: /software-visi logic/ 目前厂商已经发布了升级补丁以修 CNVD-2016-04327 RTMPDumplibrtmp远程代码执行漏洞 高复此安全问题,详情请关注厂商主页: https://rtmpdump.mplayerhq.hu/ 目前厂商已经发布了升级补丁以修 7zipNArchive::NHfs::CHandler::CNVD-201 复此安全问题,详情请关注厂商主 6-04344 ExtractZlibFile方法堆缓冲区溢出高页: 漏洞 / 目前厂商已经发布了升级补丁以修 CNVD-201libarchive整数溢出漏洞6-04375 高复此安全问题,详情请关注厂商主页: / 目前厂商已经发布了升级补丁以修 CNVD-201Linuxkernel缓冲区溢出漏洞(C高复此安全问题,详情请关注厂商主 6-04392 NVD-2016-04392) 页: / 目前厂商已经发布了升级补丁以修 CNVD-2016-04391 Linuxkernelpowerpc系统拒绝服务漏洞 高复此安全问题,详情请关注厂商主页: / 目前厂商已经发布了升级补丁以修 CNVD-201Linuxkernelnfsd权限获取漏洞6-04387 高复此安全问题,补丁获取链接:/linus/4ac7249ea 873c3fac61 目前厂商已经发布了升级补丁以修 CNVD-201phpMyAdmin任意代码执行漏洞6-04397 高复此安全问题,补丁获取链接:/securit y/PMASA-2016-27/ 目前厂商已经发布了升级补丁以修 CNVD-2016-04320 PidginMXIT协议缓冲区溢出漏洞 高复此安全问题,补丁获取链接:https://pidgin.im/news/security/?
id=
9 3 表4部分重要高危漏洞列表 小结:本周,Pidgin产品被披露存在缓冲区溢出和拒绝服务漏洞,攻击者可利用漏 洞进行跨站脚本攻击和发起拒绝服务攻击。
此外,WordPress、phpMyAdmin、Symantec 等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获得敏感信息、执行任意代码、 造成缓冲区溢出或发起拒绝服务攻击等。
另外,
Netgear被披露存在密码泄露漏洞。
允 许攻击者利用漏洞获取管理界面登录密码。
建议相关用户随时关注上述厂商主页,及时 获取修复补丁或解决方案。
本周漏洞要闻速递
1.Godless类恶意APP可Root90%安卓设备 最近,趋势科技的研究人员报告发现了一类恶意应用,并统称为Godless。
它们能root掉近90%的安卓手机。
Godless恶意应用里包含了一些开源或者泄漏的安卓root工具,足可以秒杀安卓5.1或之前的版本。
根据研究人员表示,一旦受害者的设备上安装了Godless恶意应用,它就会使用一个叫作“android-rooting-tools”的漏洞框架来获取受害者设备的root权限。
有了root权限,恶意Godless应用在接受了远程服务器的指令后,就可以在受害者设备上静默下载安装其他应用。
受害用户可能会安装上并不需要的应用,也可能会收到烦人的广告。
更糟糕的是,这些恶意应用可能会在设备上安装后门监控用户。
因此,为了避免遭受类似恶意应用的侵害,安卓用户应该规避使用第三方应用商店。
而我们即使在谷歌官方应用商店下载应用时,也要仔细检查下开发者的信息。
参考链接:
2.Swagger曝远程代码执行漏洞,影响Java、PHP、NodeJS等众多开发语言 Swagger规格被广泛的使用在Html、PHP、Java和Ruby等流行语言开发的应用中,其最近被曝出远程代码执行漏洞,潜在影响到了Java、PHP、NodeJS和Ruby等流行语言开发的应用。
这个漏洞的CVE编号为CVE-2016-5641。
该漏洞属于参数注入漏洞,能够在SwaggerJSON文件中嵌入恶意代码。
如凡是使用SwaggerAPI的应用程序都会受到影响。
Rapid7社区的安全研究人员目前公开了该漏洞的技术细节和修补方案。
参考链接: 关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD) 是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
关于CNCERT 国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
网址:邮箱:vreport@电话:010-82990999
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞118个,其中高危漏洞21个、中危漏洞93个、低危漏洞4个。
漏洞平均分值为5.81分。
本周收录的漏洞中,涉及0day漏洞10个(占8%)。
其中互联网上出现“MileSightcamera默认SSHroot用户漏洞、MileSightcamera权限控制页面非授权访问漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数518个,与上周(1091个)环比下降53%。
图1CNVD收录漏洞近10周平均分值分布图 本周漏洞报送情况统计 本周,共6家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部118个漏洞。
报送情况如表1所示。
其中,天融信、安天实验室、启明星辰、恒安嘉新等单位报送数量较多。
补天平台、乌云、漏洞盒子、西安四叶草信息技术有限公司、腾讯玄武实验室、福建六壬网安股份有限公司及其他个人白帽子向CNVD提交了518个以 事件型漏洞为主的原创漏洞。
报送单位或个人 漏洞报送数量 原创漏洞数量 天融信 183
0 安天实验室 162
0 启明星辰 101
0 恒安嘉新 87 11 中国电信集团系统集 成有限责任公司 33
0 H3C
8 0 乌云 377 377 漏洞盒子 40 40 西安四叶草信息技术 有限公司 77 77 腾讯玄武实验室
5 5 福建六壬网安股份有 限公司
4 4 CNCERT
广西分中心
1 1 个人
3 3 报送总计 1081 518 录入总计 118(去重) 518 表1成员单位上报漏洞统计表 本周漏洞按类型和厂商统计 本周,CNVD收录了118个漏洞。
其中应用程序漏洞75个,web应用漏洞13个, 网络设备漏洞12个,安全产品漏洞10个,操作系统漏洞8个。
漏洞影响对象类型 漏洞数量 应用程序漏洞 75 web应用漏洞 13 网络设备漏洞 12 安全产品漏洞 10 操作系统漏洞
8 表2漏洞按影响类型统计表 图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Pidgin、WordPress、phpMyAdmin等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
序号 厂商(产品) 漏洞数量 所占比例
1 Pidgin 16 14%
2 WordPress 11 9%
3 phpMyAdmin 10 8%
4 Symantec
8 7%
5 Linux
8 7%
6 PHP
7 6%
7 Open-Xchange
6 5%
8 MileSight
5 4%
9 IBM
4 3% 10 其他 43 37% 表
3漏洞产品涉及厂商分布统计表 本周行业漏洞收录情况 本周,CNVD收录了5个电信行业漏洞,1个移动互联网行业漏洞,1个工控系统 行业漏洞(如下图所示)。
其中,“UnitronicsVisiLogicOPLCIDE栈缓冲区溢出漏洞”的综合评级为“高危”。
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:/移动互联网行业漏洞链接:/工控系统行业漏洞链接:/ 图3电信行业漏洞统计 图4移动互联网行业漏洞统计 图5工控系统行业漏洞统计 本周本周重要漏洞安全告警 本周,CNVD整理和发布以下重要安全漏洞信息。
1、Pidgin产品安全漏洞 Pidgin是一款跨平台的实时通信客户端。
本周,该产品被披露存在缓冲区溢出和拒绝服务漏洞,攻击者可利用漏洞进行跨站脚本攻击和发起拒绝服务攻击。
CNVD收录的相关漏洞包括:PidginMXIT协议缓冲区溢出漏洞(CNVD-2016-04339、CNVD-2016-04340、CNVD-2016-04347)、PidginMXIT协议拒绝服务漏洞、PidginMXIT协议拒绝服务漏洞(CNVD-2016-04334、CNVD-2016-04335、CNVD-2016-04336、CNVD-2016-04337)等。
其中,“PidginMXIT协议缓冲区溢出漏洞(CNVD-201604347)”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04339 /flaw/show/CNVD-2016-04340/flaw/show/CNVD-2016-04347/flaw/show/CNVD-2016-04315/flaw/show/CNVD-2016-04334/flaw/show/CNVD-2016-04335/flaw/show/CNVD-2016-04336/flaw/show/CNVD-2016-043372、WordPress产品安全漏洞WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。
本周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息泄露、进行跨站攻 击、执行未授权操作和发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:WordPress信息泄露漏洞(CNVD-2016-04364)、Wor dPress跨站脚本漏洞(CNVD-2016-04365、CNVD-2016-04366)、WordPress重定向绕过漏洞、WordPress拒绝服务漏洞(CNVD-2016-04363)、WordPressCollneWelcarte-Commerce插件跨站脚本漏洞、WordPress未授权操作漏洞、WordPress密码更改漏洞等。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04364 /flaw/show/CNVD-2016-04365/flaw/show/CNVD-2016-04366/flaw/show/CNVD-2016-04367/flaw/show/CNVD-2016-04363/flaw/show/CNVD-2016-04349/flaw/show/CNVD-2016-04319/flaw/show/CNVD-2016-043143、phpMyAdmin产品安全漏洞phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。
本周,该产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击、执行任意代码和发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:phpMyAdmin跨站请求伪造漏洞、phpMyAdmin任意代码执行漏洞、phpMyAdmin跨站脚本漏洞(CNVD-2016-04396、CNVD-2016-04395、CNVD-2016-04394)、phpMyAdminSQL注入漏洞、phpMyAdmin表结构页跨站脚本漏洞、phpMyAdmin拒绝服务漏洞等。
其中,“phpMyAdmin任意代码执行漏洞”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04398/flaw/show/CNVD-2016-04397/flaw/show/CNVD-2016-04396/flaw/show/CNVD-2016-04395/flaw/show/CNVD-2016-04394/flaw/show/CNVD-2016-04311/flaw/show/CNVD-2016-04310/flaw/show/CNVD-2016-043074、Symantec产品安全漏洞SymantecEndpointProtection(SEP)是美国赛门铁克(Symantec)公司的一套防 病毒软件。
SEPManager和Client是其中的管理端和客户端软件。
本周,上述产品被披 露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息和实施跨站脚本攻击等。
CNVD收录的相关漏洞包括:SymantecEndpointProtectionManager和Client服务 器端请求伪造漏洞、SymantecEndpointProtectionManager跨站脚本漏洞(CNVD-201 6-04421)、SymantecEndpointProtectionManager跨站请求伪造漏洞、SymantecEndpo intProtectionManager和Client开放重定向漏洞、SymantecEndpointProtectionManag er和Client设计漏洞、SymantecEndpointProtectionManager和Client信息泄露漏洞、 SymantecEndpointProtectionManager和Client目录遍历漏洞、SymantecEndpointPr otectionClient竞争条件漏洞。
其中,“SymantecEndpointProtectionManager跨站请求 伪造漏洞”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。
CNV D提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:/flaw/show/CNVD-2016-04422 /flaw/show/CNVD-2016-04421 /flaw/show/CNVD-2016-04420 /flaw/show/CNVD-2016-04419 /flaw/show/CNVD-2016-04418 /flaw/show/CNVD-2016-04416 /flaw/show/CNVD-2016-04415 /flaw/show/CNVD-2016-04417
5、Netgear
设备web界面登录密码泄露漏洞 Netgear是全球领先的企业网络解决方案,及数字家庭网络应用倡导者。
本周,Net gear被披露存在密码泄露漏洞。
允许攻击者利用漏洞获取管理界面登录密码。
目前,厂 商尚未发布该漏洞的修补程序。
CNVD提醒广大用户随时关注厂商主页,以获取最新版 本。
参考链接:/flaw/show/CNVD-2016-04399 更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。
参考链接: CNVD编号 漏洞名称 综合评级 TrendMicroDeepDiscoveryho CNVD-201tfix_upload.cgi文档名称远程代码高 6-04313 执行漏洞 CNVD-201UnitronicsVisiLogicOPLCIDE高 6-04321 栈缓冲区溢出漏洞 修复方式 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:/solution/en-US/1114281.aspx目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页: /software-visi logic/ 目前厂商已经发布了升级补丁以修 CNVD-2016-04327 RTMPDumplibrtmp远程代码执行漏洞 高复此安全问题,详情请关注厂商主页: https://rtmpdump.mplayerhq.hu/ 目前厂商已经发布了升级补丁以修 7zipNArchive::NHfs::CHandler::CNVD-201 复此安全问题,详情请关注厂商主 6-04344 ExtractZlibFile方法堆缓冲区溢出高页: 漏洞 / 目前厂商已经发布了升级补丁以修 CNVD-201libarchive整数溢出漏洞6-04375 高复此安全问题,详情请关注厂商主页: / 目前厂商已经发布了升级补丁以修 CNVD-201Linuxkernel缓冲区溢出漏洞(C高复此安全问题,详情请关注厂商主 6-04392 NVD-2016-04392) 页: / 目前厂商已经发布了升级补丁以修 CNVD-2016-04391 Linuxkernelpowerpc系统拒绝服务漏洞 高复此安全问题,详情请关注厂商主页: / 目前厂商已经发布了升级补丁以修 CNVD-201Linuxkernelnfsd权限获取漏洞6-04387 高复此安全问题,补丁获取链接:/linus/4ac7249ea 873c3fac61 目前厂商已经发布了升级补丁以修 CNVD-201phpMyAdmin任意代码执行漏洞6-04397 高复此安全问题,补丁获取链接:/securit y/PMASA-2016-27/ 目前厂商已经发布了升级补丁以修 CNVD-2016-04320 PidginMXIT协议缓冲区溢出漏洞 高复此安全问题,补丁获取链接:https://pidgin.im/news/security/?
id=
9 3 表4部分重要高危漏洞列表 小结:本周,Pidgin产品被披露存在缓冲区溢出和拒绝服务漏洞,攻击者可利用漏 洞进行跨站脚本攻击和发起拒绝服务攻击。
此外,WordPress、phpMyAdmin、Symantec 等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获得敏感信息、执行任意代码、 造成缓冲区溢出或发起拒绝服务攻击等。
另外,
Netgear被披露存在密码泄露漏洞。
允 许攻击者利用漏洞获取管理界面登录密码。
建议相关用户随时关注上述厂商主页,及时 获取修复补丁或解决方案。
本周漏洞要闻速递
1.Godless类恶意APP可Root90%安卓设备 最近,趋势科技的研究人员报告发现了一类恶意应用,并统称为Godless。
它们能root掉近90%的安卓手机。
Godless恶意应用里包含了一些开源或者泄漏的安卓root工具,足可以秒杀安卓5.1或之前的版本。
根据研究人员表示,一旦受害者的设备上安装了Godless恶意应用,它就会使用一个叫作“android-rooting-tools”的漏洞框架来获取受害者设备的root权限。
有了root权限,恶意Godless应用在接受了远程服务器的指令后,就可以在受害者设备上静默下载安装其他应用。
受害用户可能会安装上并不需要的应用,也可能会收到烦人的广告。
更糟糕的是,这些恶意应用可能会在设备上安装后门监控用户。
因此,为了避免遭受类似恶意应用的侵害,安卓用户应该规避使用第三方应用商店。
而我们即使在谷歌官方应用商店下载应用时,也要仔细检查下开发者的信息。
参考链接:
2.Swagger曝远程代码执行漏洞,影响Java、PHP、NodeJS等众多开发语言 Swagger规格被广泛的使用在Html、PHP、Java和Ruby等流行语言开发的应用中,其最近被曝出远程代码执行漏洞,潜在影响到了Java、PHP、NodeJS和Ruby等流行语言开发的应用。
这个漏洞的CVE编号为CVE-2016-5641。
该漏洞属于参数注入漏洞,能够在SwaggerJSON文件中嵌入恶意代码。
如凡是使用SwaggerAPI的应用程序都会受到影响。
Rapid7社区的安全研究人员目前公开了该漏洞的技术细节和修补方案。
参考链接: 关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD) 是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
关于CNCERT 国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
网址:邮箱:vreport@电话:010-82990999
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。