漏洞代码签名
代码签名 时间:2021-04-30 阅读:()
本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞102个,其中高危漏洞30个、中危漏洞67个、低危漏洞5个.
漏洞平均分值为5.
76分.
本周收录的漏洞中,涉及0day漏洞14个(占14%).
其中互联网上出现"ManageEngineFirewallAnalyzer'runQuery.
do'SQL注入漏洞"、"ProjectSend存在多个漏洞"等零日漏洞,请使用相关产品的用户注意加强防范.
此外,本周收录涉及党政机关企事事件型漏洞总数1945个,与上周(690个)环比增长182%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共7家成员单位、合作伙伴及个人报送了本周收录的全部102个漏洞.
报送情况如表1所示.
其中,奇虎(补天平台)、安天实验室、天融信、恒安嘉新等单位报送数量较多.
补天平台、乌云、漏洞盒子、广州白狐网络科技有限公司及白帽子向CNVD国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年02月29日-2016年03月06日2016年第10期提交了1945个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量奇虎(补天平台)12961296安天实验室1060天融信510恒安嘉新220H3C50知道创宇21绿盟科技10乌云579579漏洞盒子2525广州白狐网络科技有限公司11CNCERT宁夏分中心44CNCERT陕西分中心22CNCERT福建分中心11个人3636报送总计21311945录入总计102(去重)1945表1成员单位上报漏洞统计表注:本周与360公司补天平台接口出现回补情况,统计数量出现激增.
本周漏洞按类型和厂商统计本周,CNVD收录了102个漏洞.
其中应用程序漏洞75个,Web应用漏洞13个,操作系统漏洞7个,网络设备漏洞7个.
漏洞影响对象类型漏洞数量应用程序漏洞75Web应用漏洞13操作系统漏洞7网络设备漏洞7表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Wireshark、IBM、Cisco等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Wireshark1212%2IBM1010%3Cisco77%4OpenSSL66%5Yeager66%6Squid55%7CloudBees55%8phpMyAdmin44%9QNAP44%10其他4341%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了15个电信行业漏洞、3个工控系统行业漏洞(如下图所示).
其中,"CiscoNexus9000ApplicationCentricInfrastructureMode拒绝服务漏洞、CiscoApplicationPolicyInfrastructureController和Nexus9000ACIModeSwitches安全绕过漏洞"的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4工控系统行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、OpenSSL产品安全漏洞OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等.
本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可进行跨协议攻击和发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:OpenSSL模幂运算旁路攻击漏洞、OpenSSLSRP_VBASE_get_by_user内存泄露漏洞、OpenSSLDSA代码双重释放漏洞、OpenSSLBleichenbacheroracle漏洞、OpenSSLSSLv2分治型会话密钥恢复漏洞、OpenSSL跨协议攻击漏洞.
其中,"OpenSSL跨协议攻击漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01456http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01438http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01437http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01436http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01435http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-013672、IBM产品安全漏洞IBMWebSpherePortal是美国IBM公司的一套企业门户软件.
该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据.
本周,上述产品被披露存在跨站脚本、开放重定向、拒绝服务漏洞等,攻击者利用漏洞可注入任意Web脚本或HTML、重定用户到任意web网站或发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:IBMWebSpherePortalXML解析器拒绝服务漏洞、IBMWebSpherePortal跨站脚本漏洞(CNVD-2016-01422、CNVD-2016-01424、CNVD-2016-01420、CNVD-2016-01419)、IBMWebSpherePortal设计漏洞、IBMWebSpherePortal开放重定向漏洞(CNVD-2016-01416).
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01423http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01422http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01424http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01420http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01419http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01418http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014163、Wireshark产品安全漏洞Wireshark是最流行的网络协议解析器.
本周,上述产品被披露存在拒绝服务漏洞,攻击者利用漏洞可发起拒绝服务攻击.
CNVD收录的相关漏洞包括:Wireshark拒绝服务漏洞(CNVD-2016-01446、CNVD-2016-01445、CNVD-2016-01444、CNVD-2016-01448、CNVD-2016-01447、CNVD-2016-01449)、WiresharkDNP3解析器拒绝服务漏洞、WiresharkHiQnet解析器拒绝服务漏洞.
其中,"WiresharkDNP3解析器拒绝服务漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01446http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01445http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01444http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01448http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01447http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01449http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01408http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014074、Yeager产品安全漏洞Yeager是一套开源的内容管理系统.
本周,该产品被披露存在SQL注入、跨站脚本、跨站请求伪造和任意文件上传漏洞,攻击者利用漏洞可获得数据库敏感信息、进行跨站脚本和跨站请求伪造攻击或执行任意代码.
CNVD收录的相关漏洞包括:Yeager跨站请求伪造漏洞、YeagerSQL注入漏洞、YeagerSQL注入漏洞(CNVD-2016-01401、CNVD-2016-01400)、Yeager跨站脚本漏洞、Yeager任意文件上传漏洞.
其中,除"Yeager跨站请求伪造漏洞、Yeager跨站脚本漏洞"外,其余漏洞的综合评级均为"高危".
目前,厂商已发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01403http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01402http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01401http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01400http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01405http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014045、ManageEngineFirewallAnalyzer'runQuery.
do'SQL注入漏洞ZOHOManageEngineFirewallAnalyzer是美国卓豪(ZOHO)公司的一套基于Web的防火墙日志分析工具,它能收集、关联分析和汇报整个企业范围内的防火墙、proxy伺服器和Radius伺服器上的日志.
本周,ZOHOManageEngineFirewallAnalyzer被披露存在SQL注入漏洞,攻击者可利用漏洞控制应用程序,访问或修改数据库数据.
目前,厂商尚未发布漏洞修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01340更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-01342UbuntuLinux本地权限提升漏洞(CNVD-2016-01342)高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ubuntu.
com/CNVD-2016-01345UbuntuLinux本地权限提升漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ubuntu.
com/CNVD-2016-01371JoyentSmartOS存在多个漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://smartos.
org/CNVD-2016-01373sos不安全文件权限漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://github.
com/sosreport/sosCNVD-2016-01375CloudBeesJenkinsCI和LTS远程代码执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://wiki.
jenkins-ci.
org/display/SECURITY/Security+Advisory+2016-02-24CNVD-2016-01391JasPer'jas_matrix_create()'函数远程整数溢出漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
ece.
uvic.
ca/~frodo/software.
htmlCNVD-2016-01390Linuxkernel本地权限提升漏洞(CNVD-2016-01390)高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
kernel.
org/CNVD-2016-01389OICExponentCMS远程代码执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
exponentcms.
org/CNVD-2016-01388QNAPSystemsiArtistLite命令执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
qnap.
com/CNVD-2016-01385QNAPSystemsSignageStation脚本执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
qnap.
com/表4部分重要高危漏洞列表小结:本周,OpenSSL产品被披露存在多个安全漏洞,攻击者利用漏洞可进行跨协议攻击和发起拒绝服务攻击等.
此外,IBM、Wireshark、Yeager等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息、执行任意代码、进行跨站脚本和跨站请求伪造攻击或发起拒绝服务攻击等.
此外,ZOHOManageEngineFirewallAnalyzer被披露存在一个SQL注入漏洞,攻击者可利用该漏洞控制应用程序,访问或修改数据库数据.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
Jenkins之Java反序列化漏洞Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令.
因此,对于jenkins用户,我们给予以下安全建议:1、Jenkins已经发布了该漏洞的补丁,建议用户更新至最新版本Jenkins1.
650及以上版本,并且尽量保证jenkins账号不为弱口令.
2、网络管理员应该对jenkins实行访问控制,并且放入内网对外网不开放,同时禁止jenkins的匿名访问权限.
参考链接:http://www.
freebuf.
com/vuls/97659.
html2.
安卓版百度浏览器远程代码执行漏洞近日,安全研究人员在百度安卓浏览器中,发现了一个远程代码执行漏洞.
由于Windows和安卓版本的百度浏览器,都未使用代码签名机制来保护软件更新的安全.
这意味着在其程序路径下的恶意文件可以下载并执行任意代码,系统将存在巨大的隐患.
参考链接:http://www.
freebuf.
com/vuls/97607.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞102个,其中高危漏洞30个、中危漏洞67个、低危漏洞5个.
漏洞平均分值为5.
76分.
本周收录的漏洞中,涉及0day漏洞14个(占14%).
其中互联网上出现"ManageEngineFirewallAnalyzer'runQuery.
do'SQL注入漏洞"、"ProjectSend存在多个漏洞"等零日漏洞,请使用相关产品的用户注意加强防范.
此外,本周收录涉及党政机关企事事件型漏洞总数1945个,与上周(690个)环比增长182%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共7家成员单位、合作伙伴及个人报送了本周收录的全部102个漏洞.
报送情况如表1所示.
其中,奇虎(补天平台)、安天实验室、天融信、恒安嘉新等单位报送数量较多.
补天平台、乌云、漏洞盒子、广州白狐网络科技有限公司及白帽子向CNVD国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年02月29日-2016年03月06日2016年第10期提交了1945个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量奇虎(补天平台)12961296安天实验室1060天融信510恒安嘉新220H3C50知道创宇21绿盟科技10乌云579579漏洞盒子2525广州白狐网络科技有限公司11CNCERT宁夏分中心44CNCERT陕西分中心22CNCERT福建分中心11个人3636报送总计21311945录入总计102(去重)1945表1成员单位上报漏洞统计表注:本周与360公司补天平台接口出现回补情况,统计数量出现激增.
本周漏洞按类型和厂商统计本周,CNVD收录了102个漏洞.
其中应用程序漏洞75个,Web应用漏洞13个,操作系统漏洞7个,网络设备漏洞7个.
漏洞影响对象类型漏洞数量应用程序漏洞75Web应用漏洞13操作系统漏洞7网络设备漏洞7表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Wireshark、IBM、Cisco等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Wireshark1212%2IBM1010%3Cisco77%4OpenSSL66%5Yeager66%6Squid55%7CloudBees55%8phpMyAdmin44%9QNAP44%10其他4341%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了15个电信行业漏洞、3个工控系统行业漏洞(如下图所示).
其中,"CiscoNexus9000ApplicationCentricInfrastructureMode拒绝服务漏洞、CiscoApplicationPolicyInfrastructureController和Nexus9000ACIModeSwitches安全绕过漏洞"的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4工控系统行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、OpenSSL产品安全漏洞OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等.
本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可进行跨协议攻击和发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:OpenSSL模幂运算旁路攻击漏洞、OpenSSLSRP_VBASE_get_by_user内存泄露漏洞、OpenSSLDSA代码双重释放漏洞、OpenSSLBleichenbacheroracle漏洞、OpenSSLSSLv2分治型会话密钥恢复漏洞、OpenSSL跨协议攻击漏洞.
其中,"OpenSSL跨协议攻击漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01456http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01438http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01437http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01436http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01435http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-013672、IBM产品安全漏洞IBMWebSpherePortal是美国IBM公司的一套企业门户软件.
该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据.
本周,上述产品被披露存在跨站脚本、开放重定向、拒绝服务漏洞等,攻击者利用漏洞可注入任意Web脚本或HTML、重定用户到任意web网站或发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:IBMWebSpherePortalXML解析器拒绝服务漏洞、IBMWebSpherePortal跨站脚本漏洞(CNVD-2016-01422、CNVD-2016-01424、CNVD-2016-01420、CNVD-2016-01419)、IBMWebSpherePortal设计漏洞、IBMWebSpherePortal开放重定向漏洞(CNVD-2016-01416).
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01423http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01422http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01424http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01420http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01419http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01418http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014163、Wireshark产品安全漏洞Wireshark是最流行的网络协议解析器.
本周,上述产品被披露存在拒绝服务漏洞,攻击者利用漏洞可发起拒绝服务攻击.
CNVD收录的相关漏洞包括:Wireshark拒绝服务漏洞(CNVD-2016-01446、CNVD-2016-01445、CNVD-2016-01444、CNVD-2016-01448、CNVD-2016-01447、CNVD-2016-01449)、WiresharkDNP3解析器拒绝服务漏洞、WiresharkHiQnet解析器拒绝服务漏洞.
其中,"WiresharkDNP3解析器拒绝服务漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01446http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01445http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01444http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01448http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01447http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01449http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01408http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014074、Yeager产品安全漏洞Yeager是一套开源的内容管理系统.
本周,该产品被披露存在SQL注入、跨站脚本、跨站请求伪造和任意文件上传漏洞,攻击者利用漏洞可获得数据库敏感信息、进行跨站脚本和跨站请求伪造攻击或执行任意代码.
CNVD收录的相关漏洞包括:Yeager跨站请求伪造漏洞、YeagerSQL注入漏洞、YeagerSQL注入漏洞(CNVD-2016-01401、CNVD-2016-01400)、Yeager跨站脚本漏洞、Yeager任意文件上传漏洞.
其中,除"Yeager跨站请求伪造漏洞、Yeager跨站脚本漏洞"外,其余漏洞的综合评级均为"高危".
目前,厂商已发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01403http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01402http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01401http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01400http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01405http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-014045、ManageEngineFirewallAnalyzer'runQuery.
do'SQL注入漏洞ZOHOManageEngineFirewallAnalyzer是美国卓豪(ZOHO)公司的一套基于Web的防火墙日志分析工具,它能收集、关联分析和汇报整个企业范围内的防火墙、proxy伺服器和Radius伺服器上的日志.
本周,ZOHOManageEngineFirewallAnalyzer被披露存在SQL注入漏洞,攻击者可利用漏洞控制应用程序,访问或修改数据库数据.
目前,厂商尚未发布漏洞修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01340更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-01342UbuntuLinux本地权限提升漏洞(CNVD-2016-01342)高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ubuntu.
com/CNVD-2016-01345UbuntuLinux本地权限提升漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ubuntu.
com/CNVD-2016-01371JoyentSmartOS存在多个漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://smartos.
org/CNVD-2016-01373sos不安全文件权限漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://github.
com/sosreport/sosCNVD-2016-01375CloudBeesJenkinsCI和LTS远程代码执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://wiki.
jenkins-ci.
org/display/SECURITY/Security+Advisory+2016-02-24CNVD-2016-01391JasPer'jas_matrix_create()'函数远程整数溢出漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
ece.
uvic.
ca/~frodo/software.
htmlCNVD-2016-01390Linuxkernel本地权限提升漏洞(CNVD-2016-01390)高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
kernel.
org/CNVD-2016-01389OICExponentCMS远程代码执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
exponentcms.
org/CNVD-2016-01388QNAPSystemsiArtistLite命令执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
qnap.
com/CNVD-2016-01385QNAPSystemsSignageStation脚本执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
qnap.
com/表4部分重要高危漏洞列表小结:本周,OpenSSL产品被披露存在多个安全漏洞,攻击者利用漏洞可进行跨协议攻击和发起拒绝服务攻击等.
此外,IBM、Wireshark、Yeager等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息、执行任意代码、进行跨站脚本和跨站请求伪造攻击或发起拒绝服务攻击等.
此外,ZOHOManageEngineFirewallAnalyzer被披露存在一个SQL注入漏洞,攻击者可利用该漏洞控制应用程序,访问或修改数据库数据.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
Jenkins之Java反序列化漏洞Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令.
因此,对于jenkins用户,我们给予以下安全建议:1、Jenkins已经发布了该漏洞的补丁,建议用户更新至最新版本Jenkins1.
650及以上版本,并且尽量保证jenkins账号不为弱口令.
2、网络管理员应该对jenkins实行访问控制,并且放入内网对外网不开放,同时禁止jenkins的匿名访问权限.
参考链接:http://www.
freebuf.
com/vuls/97659.
html2.
安卓版百度浏览器远程代码执行漏洞近日,安全研究人员在百度安卓浏览器中,发现了一个远程代码执行漏洞.
由于Windows和安卓版本的百度浏览器,都未使用代码签名机制来保护软件更新的安全.
这意味着在其程序路径下的恶意文件可以下载并执行任意代码,系统将存在巨大的隐患.
参考链接:http://www.
freebuf.
com/vuls/97607.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999
MineServer:洛杉矶CN2 GIA VPS/512MB内存/20GB NVME/800GB流量/200Mbps/KVM,58元/季
mineserver怎么样?mineserver是一家国人商家,主要提供香港CN2 KVM VPS、香港CMI KVM VPS、日本CN2 KVM VPS、洛杉矶cn2 gia端口转发等服务,之前介绍过几次,最近比较活跃。这家新推出了洛杉矶CN2 GIA VPS,512MB内存/20GB NVME/800GB流量/200Mbps/KVM,58元/季,并且进行了带宽升级,同时IP更改为美国IP。点击...
美国200G美国高防服务器16G,800元
美国高防服务器提速啦专业提供美国高防服务器,美国高防服务器租用,美国抗攻击服务器,高防御美国服务器租用等。我们的海外高防服务器带给您坚不可摧的DDoS防护,保障您的业务不受攻击影响。HostEase美国高防服务器位于加州和洛杉矶数据中心,均为国内访问速度最快最稳定的美国抗攻击机房,带给您快速的访问体验。我们的高防服务器配有最高层级的DDoS防护系统,每款抗攻击服务器均拥有免费DDoS防护额度,让您...
BGPTO独服折优惠- 日本独服65折 新加坡独服75折
BGPTO是一家成立于2017年的国人主机商,从商家背景上是国内的K总和有其他投资者共同创办的商家,主营是独立服务器业务。数据中心包括美国洛杉矶Cera、新加坡、日本大阪和香港数据中心的服务器。商家对所销售服务器产品拥有自主硬件和IP资源,支持Linux和Windows。这个月,有看到商家BGPTO日本和新加坡机房独服正进行优惠促销,折扣最低65折。第一、商家机房优惠券码这次商家的活动机房是新加坡...
代码签名为你推荐
-
操作http企业建网站我想建立一个企业网站,需要多少钱??支付宝调整还款日支付宝调整花呗还款日,这个调整有没有对你造成什么影响?资费标准中国移动4g18元套餐介绍刚刚网刚刚在网上认识了一个女孩子,不是很了解她,就跟她表白了。billboardchina美国Billboard公告牌年度10大金曲最新华丽合辑如何发帖子网上怎么发帖子?joomla安装下载app并安装谷歌新漏洞google hacking 技术有哪些显示隐藏文件如何显示用属性隐藏的文件