手机版
你好,游客 登录 注册 搜索
rss订阅 手机访问 
Linux安全
VMware vCenter Server Appliance本地权限提升漏洞(CVE-2017-4943)
VMware vCenter Server Appliance (vCSA) (6.5 < 6.5 U1d)版本在实现上存在本地权限提升漏洞,攻击者通过showlog插件可获取权限提升。
日期:12/23/2017 08:11:16 作者:Linux
Trend Micro ScanMail for Exchange跨站请求伪造漏洞(CVE-2017-14092)
Trend Micro ScanMail for Exchange 12.0 Web接口表单中缺少反跨站请求伪造令牌,可使攻击者在用户浏览攻击者控制的域时提交经验证的请求。
日期:12/22/2017 21:11:03 作者:Linux
VMware多个产品远程栈溢出漏洞(CVE-2017-4941)
VMware ESXi/Workstation/Fusion在实现上存在安全漏洞,可使经验证的VNC会话通过特定的VNC数据包组,造成栈溢出,甚至在虚拟机中执行远程代码。
日期:12/22/2017 19:43:06 作者:Linux
OpenLDAP 'contrib/slapd-modules/nops/nops.c'拒绝服务漏洞
OpenLDAP 2.4.45及之前版本,启用了nops模块及memberof overlay后,contrib/slapd-modules/nops/nops.c在实现上存在栈缓冲区溢出漏洞,可使远程攻击者通过成员MODDN操作,造成拒绝服务。
日期:12/22/2017 19:42:12 作者:Linux
vBulletin 'index.php' 远程文件包含漏洞
vBulletin在实现上存在远程文件包含漏洞,攻击者利用此漏洞可在Webserver进程上下文中,在受影响系统上包含任意远程文件并执行PHP代码。也可能破坏应用及下层系统等。vBulletin 5版本受到影响。
日期:12/22/2017 09:40:37 作者:Linux
GNU C Library 'elf/dl-load.c ' 本地权限提升漏洞(CVE-2017-16997)
GNU C在实现上存在本地权限提升漏洞,本地攻击者利用此漏洞可获取提升的权限。
日期:12/22/2017 09:39:41 作者:Linux
Apache Drill 跨站脚本漏洞(CVE-2017-12630)
Apache Drill 在实现上存在跨站脚本漏洞,攻击者利用此漏洞可在受影响站点上下文中用户浏览器中执行任意脚本代码。这可使攻击者窃取基于Cookie的身份验证凭证等。Apache Drill 1.11.0及之前版本受到影响。
日期:12/22/2017 09:39:14 作者:Linux
Linux Kernel 拒绝服务漏洞(CVE-2017-17741)
Linux 内核在实现上存在本地拒绝服务漏洞,攻击者利用此漏洞可造成拒绝服务。
日期:12/22/2017 09:38:34 作者:Linux
Linux Kernel raw_sendmsg()竞争条件漏洞(CVE-2017-17712)
Linux Kernel 4.14.6及之前版本,net/ipv4/raw.c/raw_sendmsg()函数在inet->hdrincl实现上存在竞争条件漏洞,可导致使用未初始化栈指针,攻击者利用此漏洞可执行任意代码并获取提升的权限。
日期:12/22/2017 09:37:44 作者:Linux
Linksys WVBR0-25远程命令注入漏洞(CVE-2017-17411)
Linksys WVBR0-25在实现上存在远程命令注入漏洞,成功利用后可使攻击者在受影响设备上下文中执行任意命令。
日期:12/21/2017 10:56:39 作者:Linux
Trend Micro Mobile Security 信息泄露及拒绝服务漏洞
Trend Micro Mobile Security在实现上存在信息泄露漏洞及拒绝服务漏洞,成功利用后可使攻击者访问敏感信息或造成拒绝服务。
日期:12/21/2017 10:56:12 作者:Linux
DotNetNuke 远程代码执行漏洞(CVE-2017-9822)
DNN (DotNetNuke) 9.1.1之前版本在实现上存在远程代码执行漏洞,远程攻击者通过cookie,可在DNN站点上执行任意代码。
日期:12/20/2017 15:21:48 作者:Linux
VideoLAN VLC 'mp4/libmp4.c'拒绝服务漏洞(CVE-2017-17670)
VideoLAN VLC media player <= 2.2.8版本,在MP4 demux模块的modules/demux/mp4/libmp4.c中存在类型混淆漏洞,这可导致无效释放。
日期:12/20/2017 15:20:40 作者:Linux
Bouncy Castle信息泄露漏洞(CVE-2017-13098)
BouncyCastle TLS < 1.0.3版本,配置为使用JCE加密后,协商任何使用RSA密钥交换的TLS密钥组时会提供弱Bleichenbacher oracle,这可使攻击者恢复密钥,此漏洞也称为ROBOT。
日期:12/20/2017 11:43:04 作者:Linux
Atlassian FishEye/Crucible远程代码执行漏洞(CVE-2017-14591)
Atlassian Fisheye及Crucible < 4.4.3、4.5.0版本在Mercurial库的文件名中存在参数注入漏洞,可使攻击者在受影响系统中执行任意代码。
日期:12/19/2017 16:07:16 作者:Linux
ImageMagick 'coders/xpm.c'拒绝服务漏洞(CVE-2017-17680)
ImageMagick 7.0.7-12 Q16版本,在coders/xpm.c/ReadXPMImage函数实现存在内存泄露漏洞,可使攻击者通过构造的xpm图形文件,造成拒绝服务。
日期:12/19/2017 16:06:37 作者:Linux
Ruby多个命令执行漏洞(CVE-2017-17405)
Ruby 2.4.3之前版本在实现上存在Net::FTP命令注入漏洞,Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, puttextfile使用Kernel#open打开本地文件。若localfile参数以"|" 字符开始,则该字符后的命令会随之执行。
日期:12/19/2017 16:05:52 作者:Linux
ImageMagick ReadPSDChannelZip拒绝服务漏洞(CVE-2017-17681)
ImageMagick 7.0.7-12 Q16版本,在coders/psd.c/ReadPSDChannelZip函数实现存在无限循环漏洞,可使攻击者通过构造的psd图形文件,造成拒绝服务(CPU耗尽)。
日期:12/19/2017 16:05:20 作者:Linux
Python 'Lib/webbrowser.py'远程命令执行漏洞
Python <= 3.6.3版本,Lib/webbrowser.py在启动BROWSER环境变量指定的程序之前,未验证字符串,这可使远程攻击者通过构造的URL,利用此漏洞执行参数注入攻击。
日期:12/19/2017 16:04:42 作者:Linux
Rapid7 Nexpose跨站请求伪造漏洞(CVE-2017-5264)
Nexpose 6.4.66之前版本未有效验证Automated Actions管理网络应用的HTTP请求源,在实现上存在跨站请求伪造漏洞,攻击者利用这些漏洞可诱使用户访问恶意URI。
日期:12/19/2017 16:04:12 作者:Linux
Huawei FusionSphere OpenStack路由器身份验证绕过漏洞(CVE-2017-8194)
FusionSphere OpenStack V100R006C00SPC102(NFV)在实现上存在身份验证漏洞,可使经验证的远程攻击者通过构造的rest消息,利用此漏洞执行未授权操作。
日期:12/19/2017 16:03:42 作者:Linux
EMC Isilon OneFS多个权限提升漏洞(CVE-2017-14380)
EMC Isilon OneFS 8.1.0.0, 8.0.1.0 - 8.0.1.1, 8.0.0.0 - 8.0.0.4, 7.2.1.0 - 7.2.1.5, 7.2.0.x, 7.1.1.x版本,在isi_get_itrace或isi_get_profile维护脚本中存在安全漏洞,可使恶意的compadmin用户利用此漏洞
日期:12/19/2017 16:02:56 作者:Linux
Erlang/OTP信息泄露漏洞(CVE-2017-1000385)
Erlang/OTP在实现上存在信息泄露漏洞,攻击者利用此漏洞可执行中间人攻击,获取敏感信息。
日期:12/19/2017 16:02:13 作者:Linux
Windows 10 包裹的第三方密码管理工具有巨大的安全漏洞
无论对自家的代码多么小心控管,当包裹的第三方插件出包时,还是会为最终产品带来风险的。微软最近就面临了这个问题,被 Google 的研究专家 Tavis Ormandy 在 Windows 10 的映像档当中包含的 Keeper 网页密码管理插件里,发现了一个大漏洞
日期:12/18/2017 19:34:31 作者:Linux
IBM Support Tools for Lotus WCM跨站脚本漏洞(CVE-2017-1536)
IBM Support Tools for Lotus WCM 1.0-1.7.0版本在实现上存在跨站脚本漏洞,攻击者利用此漏洞可在受影响应用中执行任意代码。
日期:12/18/2017 12:20:03 作者:Linux
Atlassian Bamboo远程代码执行漏洞(CVE-2017-14589)
Bamboo 6.1.6、6.2.5之前版本在实现上存在远程代码执行漏洞,攻击者利用此漏洞可在受影响系统中执行任意代码。
日期:12/17/2017 10:53:30 作者:Linux
IBM Sterling File Gateway跨站脚本漏洞(CVE-2017-1632)
IBM Sterling File Gateway 2.2版本在实现上存在跨站脚本漏洞,成功利用此漏洞可使攻击者执行任意脚本代码。
日期:12/17/2017 10:53:06 作者:Linux
Atlassian Bamboo远程代码执行漏洞(CVE-2017-14590)
Bamboo 6.1.6、6.2.5之前版本在实现上存在远程代码执行漏洞,攻击者利用此漏洞可在受影响系统中执行任意代码。
日期:12/16/2017 10:07:39 作者:Linux
Apple iCloud/iTunes 安全功能绕过漏洞(CVE-2017-13864)
Apple iCloud for Windows 7.2之前版本、Apple iTunes for Windows 12.7.2之前版本在实现上存在安全限制绕过漏洞,成功利用后可使攻击者绕过安全限制,执行未授权操作。
日期:12/16/2017 10:07:11 作者:Linux
Lynx 'HTML.c:HTML_put_string()'函数释放后重利用信息泄露漏洞
Lynx < 2.8.9dev.16版本,在HTML解析器存在释放后重利用漏洞,由于HTML_put_string()可自行附加句块,攻击者利用此漏洞可造成信息泄露。
日期:12/16/2017 10:06:45 作者:Linux
内容分类