漏洞zen-cart
zen-cart 时间:2021-05-08 阅读:()
本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞433个,其中高危漏洞159个、中危漏洞254个、低危漏洞20个.
漏洞平均分值为6.
12分.
本周收录的漏洞中,涉及0day漏洞108个(占25%).
其中互联网上出现"BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞、BarracudaNetworksSpamandVirusFirewall远程命令注入漏洞"等零日代码攻击漏洞,请使用相关产品的用户注意加强防范.
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数158个,与上周(648个)环比下降76%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共9家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部433个漏洞.
报送情况如表1所示.
其中,天融信、绿盟科技、安天实验室、启明星辰等单位报送数量较多.
漏洞盒子、深圳市深信服电子科技有限公司、中国科学院软件研究国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年07月25日-2016年07月31日2016年第31期所-总体部及其他个人白帽子向CNVD提交了158个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量天融信2920绿盟科技2620安天实验室2490启明星辰2004恒安嘉新915H3C660杭州安恒信息技术有限公司220中国电信集团系统集成有限责任公司250东软2970漏洞盒子3636深圳市深信服电子科技有限公司1414中国科学院软件研究所-总体部1212CNCERT上海分中心1616CNCERT陕西分中心1515CNCERT江西分中心77CNCERT河南分中心55CNCERT山西分中心55CNCERT宁夏分中心11个人3838报送总计1653158录入总计433(去重)158表1漏洞报送情况统计表本周漏洞按类型和厂商统计本周,CNVD收录了433个漏洞.
其中应用程序漏洞274个,web应用漏洞92个,操作系统漏洞26个,数据库漏洞22个,网络设备漏洞10个,安全产品漏洞9个.
漏洞影响对象类型漏洞数量应用程序漏洞274web应用漏洞92操作系统漏洞26数据库漏洞22网络设备漏洞10安全产品漏洞9表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Oracle、Google、Apple等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Oracle17741%2Google194%3Apple184%4PHP113%5Drupal102%6WordPress102%7Cisco51%8YPO351%9Siemens41%10其他17441%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了59个电信行业漏洞,14个移动互联网行业漏洞,6个工控系统行业漏洞(如下图所示).
其中,"OracleFusionMiddlewareOutsideInTechnology存在未明漏洞(CNVD-2016-05414、CNVD-2016-05415、CNVD-2016-05416、CNVD-2016-05417、CNVD-2016-05418、CNVD-2016-05419、CNVD-2016-05420、CNVD-2016-05421、CNVD-2016-05422、CNVD-2016-05423)、AppleCoreGraphicsBMPFrameworkimg_decode_read远程代码执行漏洞等"的综合评级为"高危".
详情请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计图5工控系统行业漏洞统计本周本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Oracle产品安全漏洞OracleMySQLServer是一个轻量的关系型数据库系统.
本周,该产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
CNVD收录的相关漏洞包括:OracleMySQLServer存在未明漏洞(CNVD-2016-05386、CNVD-2016-05387、CNVD-2016-05388、CNVD-2016-05389、CNVD-2016-05390、CNVD-2016-05391、CNVD-2016-05392、CNVD-2016-05393)等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05386http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05387http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05388http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05389http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05390http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05391http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05392http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-053932、Google产品安全漏洞GoogleChrome是由Google开发的一款Web浏览工具.
本周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息或发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:GoogleChrome拒绝服务漏洞(CNVD-2016-05481)、GoogleChromeV8内存破坏漏洞(CNVD-2016-05586)、GoogleChromePAC功能信息泄露漏洞、GoogleChromeOS堆缓冲区溢出漏洞、GoogleChromelibxml2内存错误引用漏洞、GoogleChromeExtensions子系统拒绝服务漏洞、GoogleChromeCSPSource::schemeMatches信息泄露漏洞、GoogleChrome'ByteArray::Get'方法堆缓冲区溢出漏洞等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05481http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05586http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05594http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05690http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05639http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05515http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05597http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055183、Apple产品安全漏洞AppleiOS、OSX、tvOS和watchOS都是美国苹果(Apple)公司的产品.
AppleiOS是为移动设备所开发的一套操作系统;OSX是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统.
kernel是其中的一个内核组件.
Safari是一款Web浏览器,是MacOSX和iOS操作系统附带的默认浏览器;WebKit是KDE社区开发的一套开源Web浏览器引擎,目前被AppleSafari及GoogleChrome等浏览器使用.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或造成内存破坏等.
CNVD收录的相关漏洞包括:多款Apple产品跨站脚本漏洞、多款Apple产品内存破坏漏洞(CNVD-2016-05667)、多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)、多款Apple产品WebKit内存破坏漏洞(CNVD-2016-05672、CNVD-2016-05671、CNVD-2016-05669)、多款Apple产品WebKit信息泄露漏洞等.
其中,"多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05668http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05667http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05665http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05663http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05672http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05671http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05670http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-056694、PHP产品安全漏洞PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中.
本周,该产品被披露存在远程代码执行、信息泄露和拒绝服务漏洞,攻击者可利用漏洞执行远程代码、获取敏感信息和发起拒绝服务攻击.
CNVD收录的相关漏洞包括:PHP远程代码执行漏洞(CNVD-2016-05253)、PHPvirtual_file_ex拒绝服务漏洞、PHPphp_url_parse_ex拒绝服务漏洞、PHPlocale_accept_from_http拒绝服务漏洞、PHPext/snmp/snmp.
c拒绝服务漏洞、PHPext/session/session.
c拒绝服务漏洞、PHPexif_process_user_comment拒绝服务漏洞、PHPexif_process_IFD_in_MAKERNOTE信息泄露漏洞等.
其中,PHP远程代码执行漏洞(CNVD-2016-05253)的综合评级为"高危".
目前,除"PHP远程代码执行漏洞(CNVD-2016-05253)"外,厂商已发布其余漏洞的补丁程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05253http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05566http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05564http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05569http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05570http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05565http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05568http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055675、BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞BarracudaWebApplicationFirewall和LoadBalancer都是美国梭子鱼(BarracudaNetworks)公司的产品.
前者是一款Web应用防火墙,后者是一款应用交付控制器.
本周,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05692更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-05250Accel-PPP远程内存破坏漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://sourceforge.
net/projects/accel-ppp/CNVD-2016-05257PulseSecureDesktopClient权限提升漏洞高厂商已在最新版本中修复该漏洞,请及时关注更新:https://kb.
pulsesecure.
net/articles/Pulse_Security_Advisories/SA40241CNVD-2016-05259DrupalScaldFile模块远程代码执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://drupal.
org/CNVD-2016-05491Veil-EvasionRPC命令注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://www.
veil-framework.
com/CNVD-2016-05366WordPressVideoPlayerSQL注入漏洞高用户可联系供应商获得补丁信息:https://www.
wordpress.
org/CNVD-2016-05381ZenCart'admin_account.
php'远程权限提升漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
zen-cart.
com/CNVD-2016-05458op5Monitor'cmd_str'参数远程命令执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.
op5.
com/blog/news/op5-monitor-7-2-0-release-notes/CNVD-2016-05258TYPO3'AnotherSimpleGallery'扩展SQL注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/CNVD-2016-05477IPFire存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ipfire.
org/CNVD-2016-05456TYPO3'http:BLBlocking'扩展存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/表4部分重要高危漏洞列表小结:本周,Oracle产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
此外,Google、Apple、PHP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击和发起拒绝服务攻击等.
另外,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
大量无线键盘存在KeySniffer漏洞,可嗅探用户输入本周,大量无线键盘存在KeySniffer漏洞.
存在漏洞的键盘与插入电脑的USB无线接收器之间的数据都是明文传输的.
这样攻击者就能够检测到受害用户输入的文字了.
也正由于没有加密,攻击者还能够在数据流中注入他们自己的键盘敲击.
KeySniffer攻击使用了逆向工程收发器的技术.
KeySniffer漏洞无法通过补丁修复.
因此,建议广大用户们还是换个好一点的蓝牙键盘,或者索性换成有线键盘吧.
参考链接:http://www.
freebuf.
com/vuls/110265.
html2.
LastPass再曝多枚高危漏洞,用户账号信息存在被盗风险LastPass是全球最流行的云密码管理工具之一.
这款工具主打用户的互联网账号和密码管理,和1Pass很相似.
在PC端,用户可以使用LastPass提供的浏览器插件对自己的账号密码进行管理,在手机端则是APP.
来自GoogleProjectZero的研究人员TavisOrmandy目前发现了几个LastPass0day漏洞.
LastPass目前已经紧急修补了该漏洞,也没有公开漏洞细节.
这里有一些情况我们不得为知.
2016年7月27日,某位安全研究人员发现了一枚LastPass的命令执行漏洞.
LastPass在信息通讯的过程中,会对JS代码做一个可信验证.
LastPass目前已经修复该漏洞,并且发表声明称这个漏洞只会影响到火狐的LastPass插件.
参考链接:http://www.
freebuf.
com/news/110378.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞433个,其中高危漏洞159个、中危漏洞254个、低危漏洞20个.
漏洞平均分值为6.
12分.
本周收录的漏洞中,涉及0day漏洞108个(占25%).
其中互联网上出现"BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞、BarracudaNetworksSpamandVirusFirewall远程命令注入漏洞"等零日代码攻击漏洞,请使用相关产品的用户注意加强防范.
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数158个,与上周(648个)环比下降76%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共9家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部433个漏洞.
报送情况如表1所示.
其中,天融信、绿盟科技、安天实验室、启明星辰等单位报送数量较多.
漏洞盒子、深圳市深信服电子科技有限公司、中国科学院软件研究国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年07月25日-2016年07月31日2016年第31期所-总体部及其他个人白帽子向CNVD提交了158个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量天融信2920绿盟科技2620安天实验室2490启明星辰2004恒安嘉新915H3C660杭州安恒信息技术有限公司220中国电信集团系统集成有限责任公司250东软2970漏洞盒子3636深圳市深信服电子科技有限公司1414中国科学院软件研究所-总体部1212CNCERT上海分中心1616CNCERT陕西分中心1515CNCERT江西分中心77CNCERT河南分中心55CNCERT山西分中心55CNCERT宁夏分中心11个人3838报送总计1653158录入总计433(去重)158表1漏洞报送情况统计表本周漏洞按类型和厂商统计本周,CNVD收录了433个漏洞.
其中应用程序漏洞274个,web应用漏洞92个,操作系统漏洞26个,数据库漏洞22个,网络设备漏洞10个,安全产品漏洞9个.
漏洞影响对象类型漏洞数量应用程序漏洞274web应用漏洞92操作系统漏洞26数据库漏洞22网络设备漏洞10安全产品漏洞9表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Oracle、Google、Apple等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Oracle17741%2Google194%3Apple184%4PHP113%5Drupal102%6WordPress102%7Cisco51%8YPO351%9Siemens41%10其他17441%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了59个电信行业漏洞,14个移动互联网行业漏洞,6个工控系统行业漏洞(如下图所示).
其中,"OracleFusionMiddlewareOutsideInTechnology存在未明漏洞(CNVD-2016-05414、CNVD-2016-05415、CNVD-2016-05416、CNVD-2016-05417、CNVD-2016-05418、CNVD-2016-05419、CNVD-2016-05420、CNVD-2016-05421、CNVD-2016-05422、CNVD-2016-05423)、AppleCoreGraphicsBMPFrameworkimg_decode_read远程代码执行漏洞等"的综合评级为"高危".
详情请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计图5工控系统行业漏洞统计本周本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Oracle产品安全漏洞OracleMySQLServer是一个轻量的关系型数据库系统.
本周,该产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
CNVD收录的相关漏洞包括:OracleMySQLServer存在未明漏洞(CNVD-2016-05386、CNVD-2016-05387、CNVD-2016-05388、CNVD-2016-05389、CNVD-2016-05390、CNVD-2016-05391、CNVD-2016-05392、CNVD-2016-05393)等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05386http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05387http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05388http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05389http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05390http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05391http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05392http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-053932、Google产品安全漏洞GoogleChrome是由Google开发的一款Web浏览工具.
本周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息或发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:GoogleChrome拒绝服务漏洞(CNVD-2016-05481)、GoogleChromeV8内存破坏漏洞(CNVD-2016-05586)、GoogleChromePAC功能信息泄露漏洞、GoogleChromeOS堆缓冲区溢出漏洞、GoogleChromelibxml2内存错误引用漏洞、GoogleChromeExtensions子系统拒绝服务漏洞、GoogleChromeCSPSource::schemeMatches信息泄露漏洞、GoogleChrome'ByteArray::Get'方法堆缓冲区溢出漏洞等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05481http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05586http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05594http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05690http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05639http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05515http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05597http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055183、Apple产品安全漏洞AppleiOS、OSX、tvOS和watchOS都是美国苹果(Apple)公司的产品.
AppleiOS是为移动设备所开发的一套操作系统;OSX是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统.
kernel是其中的一个内核组件.
Safari是一款Web浏览器,是MacOSX和iOS操作系统附带的默认浏览器;WebKit是KDE社区开发的一套开源Web浏览器引擎,目前被AppleSafari及GoogleChrome等浏览器使用.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或造成内存破坏等.
CNVD收录的相关漏洞包括:多款Apple产品跨站脚本漏洞、多款Apple产品内存破坏漏洞(CNVD-2016-05667)、多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)、多款Apple产品WebKit内存破坏漏洞(CNVD-2016-05672、CNVD-2016-05671、CNVD-2016-05669)、多款Apple产品WebKit信息泄露漏洞等.
其中,"多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05668http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05667http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05665http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05663http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05672http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05671http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05670http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-056694、PHP产品安全漏洞PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中.
本周,该产品被披露存在远程代码执行、信息泄露和拒绝服务漏洞,攻击者可利用漏洞执行远程代码、获取敏感信息和发起拒绝服务攻击.
CNVD收录的相关漏洞包括:PHP远程代码执行漏洞(CNVD-2016-05253)、PHPvirtual_file_ex拒绝服务漏洞、PHPphp_url_parse_ex拒绝服务漏洞、PHPlocale_accept_from_http拒绝服务漏洞、PHPext/snmp/snmp.
c拒绝服务漏洞、PHPext/session/session.
c拒绝服务漏洞、PHPexif_process_user_comment拒绝服务漏洞、PHPexif_process_IFD_in_MAKERNOTE信息泄露漏洞等.
其中,PHP远程代码执行漏洞(CNVD-2016-05253)的综合评级为"高危".
目前,除"PHP远程代码执行漏洞(CNVD-2016-05253)"外,厂商已发布其余漏洞的补丁程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05253http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05566http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05564http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05569http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05570http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05565http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05568http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055675、BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞BarracudaWebApplicationFirewall和LoadBalancer都是美国梭子鱼(BarracudaNetworks)公司的产品.
前者是一款Web应用防火墙,后者是一款应用交付控制器.
本周,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05692更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-05250Accel-PPP远程内存破坏漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://sourceforge.
net/projects/accel-ppp/CNVD-2016-05257PulseSecureDesktopClient权限提升漏洞高厂商已在最新版本中修复该漏洞,请及时关注更新:https://kb.
pulsesecure.
net/articles/Pulse_Security_Advisories/SA40241CNVD-2016-05259DrupalScaldFile模块远程代码执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://drupal.
org/CNVD-2016-05491Veil-EvasionRPC命令注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://www.
veil-framework.
com/CNVD-2016-05366WordPressVideoPlayerSQL注入漏洞高用户可联系供应商获得补丁信息:https://www.
wordpress.
org/CNVD-2016-05381ZenCart'admin_account.
php'远程权限提升漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
zen-cart.
com/CNVD-2016-05458op5Monitor'cmd_str'参数远程命令执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.
op5.
com/blog/news/op5-monitor-7-2-0-release-notes/CNVD-2016-05258TYPO3'AnotherSimpleGallery'扩展SQL注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/CNVD-2016-05477IPFire存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ipfire.
org/CNVD-2016-05456TYPO3'http:BLBlocking'扩展存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/表4部分重要高危漏洞列表小结:本周,Oracle产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
此外,Google、Apple、PHP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击和发起拒绝服务攻击等.
另外,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
大量无线键盘存在KeySniffer漏洞,可嗅探用户输入本周,大量无线键盘存在KeySniffer漏洞.
存在漏洞的键盘与插入电脑的USB无线接收器之间的数据都是明文传输的.
这样攻击者就能够检测到受害用户输入的文字了.
也正由于没有加密,攻击者还能够在数据流中注入他们自己的键盘敲击.
KeySniffer攻击使用了逆向工程收发器的技术.
KeySniffer漏洞无法通过补丁修复.
因此,建议广大用户们还是换个好一点的蓝牙键盘,或者索性换成有线键盘吧.
参考链接:http://www.
freebuf.
com/vuls/110265.
html2.
LastPass再曝多枚高危漏洞,用户账号信息存在被盗风险LastPass是全球最流行的云密码管理工具之一.
这款工具主打用户的互联网账号和密码管理,和1Pass很相似.
在PC端,用户可以使用LastPass提供的浏览器插件对自己的账号密码进行管理,在手机端则是APP.
来自GoogleProjectZero的研究人员TavisOrmandy目前发现了几个LastPass0day漏洞.
LastPass目前已经紧急修补了该漏洞,也没有公开漏洞细节.
这里有一些情况我们不得为知.
2016年7月27日,某位安全研究人员发现了一枚LastPass的命令执行漏洞.
LastPass在信息通讯的过程中,会对JS代码做一个可信验证.
LastPass目前已经修复该漏洞,并且发表声明称这个漏洞只会影响到火狐的LastPass插件.
参考链接:http://www.
freebuf.
com/news/110378.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999
- 漏洞zen-cart相关文档
- originalzen-cart
- vyplachovatzen-cart
- 样品zen-cart
- 重建zen-cart
- Ablagebdenzen-cart
- Louverzen-cart
RackNerd:美国便宜VPS,洛杉矶DC-02/纽约/芝加哥机房,4TB月流量套餐16.55美元/年
racknerd怎么样?racknerd美国便宜vps又开启促销模式了,机房优秀,有洛杉矶DC-02、纽约、芝加哥机房可选,最低配置4TB月流量套餐16.55美元/年,此外商家之前推出的最便宜的9.49美元/年套餐也补货上架,同时RackNerd美国AMD VPS套餐最低才14.18美元/年,是全网最便宜的AMD VPS套餐!RackNerd主要经营美国圣何塞、洛杉矶、达拉斯、芝加哥、亚特兰大、新...
企鹅小屋6折年付240元起,美国CN2 GIA VPS促销,独享CPU,三网回程CN2 GIA
企鹅小屋怎么样?企鹅小屋最近针对自己的美国cn2 gia套餐推出了2个优惠码:月付7折和年付6折,独享CPU,100%性能,三网回程CN2 GIA网络,100Mbps峰值带宽,用完优惠码1G内存套餐是年付240元,线路方面三网回程CN2 GIA。如果新购IP不能正常使用,请在开通时间60分钟内工单VPS技术部门更换正常IP;特价主机不支持退款。点击进入:企鹅小屋官网地址企鹅小屋优惠码:年付6折优惠...
爱用云互联租用服务器租美国、日本、美国、日本、购买2天内不满意可以退换,IP可免费更换!
爱用云互联怎么样?爱用云是一家成立于2018年的老牌商家旗下的服务器销售品牌,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点。专注为个人开发者用户,中小型,大型企业用户提供一站式核心网络云端服务部署,促使用户云端...
zen-cart为你推荐
-
文件夹xp操作http支持ipadflashfxp注册码找flashfxp3.4注册码解析cuteftp文档下载怎么下载百度文档加多宝和王老吉王老吉和加多宝的关系?购物车通过自己的体会总结购物车的作用温州商标注册温州注册商标需要注册公司吗科创板首批名单2019年房产税试点城市名单