你好,游客 登录 注册 搜索
rss订阅 手机访问 
Linux安全
Cisco Emergency Responder SQL注入漏洞(CVE-2017-12227)
Cisco Emergency Responder的SQL数据库接口存在安全漏洞,可使经身份验证的远程攻击者执行SQL注入攻击。此漏洞源于未验证SQL查询内的用户输入,导致绕过保护过滤器
日期:09月08日 作者:Linux
Foxit Reader XFA gotoURL命令注入远程代码执行漏洞(CVE-2017-10953)
Foxit Reader没有正确验证用户提供的字符串,即开始执行系统调用,gotoURL方法的实现中存在漏洞,可导致在受影响应用上下文中执行任意代码。
日期:09月07日 作者:Linux
Apache Hadoop信息泄露漏洞(CVE-2016-3086)
Apache Hadoop 2.6.x < 2.6.5、2.7.x < 2.7.3版本,若用CredentialProvider功能加密NodeManager配置内的密码,YARN NodeManager所生成的任何容器都可以访问已经加密密码。
日期:09月07日 作者:Linux
Bitdefender Internet Security PDF Predictor远程代码执行漏洞(CVE-2017-10954)
Bitdefender Internet Security在pdf.xmd中存在安全漏洞,攻击者通过诱使用户浏览恶意网页或打开恶意文件,利用此漏洞可在受影响应用中执行任意代码。
日期:09月07日 作者:Linux
Apache Struts 高危漏洞让攻击者很容易控制受影响服务器
Apache Struts 的一个高危漏洞允许攻击者很容易控制受影响的服务器,从未威胁到企业敏感数据。Apache 已经在周二释出了补丁修复了漏洞,问题在于受影响的企业是否能及时打上补丁了。
日期:09月06日 作者:Linux
ImageMagick WriteMSLImage内存泄露漏洞(CVE-2017-14139)
ImageMagick 7.0.6-2版本,coders/msl.c/WriteMSLImage中存在内存泄露漏洞,可导致信息泄露。
日期:09月06日 作者:Linux
Linux kernel tcp_disconnect拒绝服务漏洞(CVE-2017-14106)
Linux kernel < 4.12版本,net/ipv4/tcp.c/tcp_disconnect函数存在安全漏洞,本地用户触发某个tcp_recvmsg代码路径内的链接,造成拒绝服务(__tcp_select_window除零错误及系统崩溃)。
日期:09月05日 作者:Linux
ImageMagick ReadOneLayer 拒绝服务漏洞(CVE-2017-12691)
ImageMagick 7.0.6-6版本,coders/xcf.c/ReadOneLayer 函数存在安全漏洞,远程攻击者通过构造的文件,利用此漏洞可造成拒绝服务(内存耗尽)。
日期:09月05日 作者:Linux
phpFileManager 任意命令执行漏洞(CVE-2015-5958)
phpFileManager 0.9.8在实现上存在安全漏洞,远程攻击者通过构造的URL,利用此漏洞可执行任意命令。
日期:09月05日 作者:Linux
QEMU 拒绝服务漏洞(CVE-2017-13711)
QEMU在slirp/socket.c/sofree函数中存在释放后重利用漏洞,可使攻击者造成QEMU实例崩溃,导致拒绝服务。
日期:09月05日 作者:Linux
新勒索软件“Defray”可通过Microsoft Word文档传播
我们最初观察到该勒索病毒的命令和控制(C&C)服务器主机名为:“defrayable-listings[.]000webhostapp[.]com”。因此,我们将它取名为“Defray”。巧合的是动词defray在英文当中,正是指提供资金支付一部分成本或费用的意思
日期:09月04日 作者:secist 编译
GitLab存在高危漏洞,用户私有令牌或遭会话劫持
据外媒近日报道,数据安全公司 Imperva 研究人员丹尼尔·斯瓦特曼(Daniel Svartman)今年 5 月发现开源系统 GitLab 存在一处高危漏洞,能够允许攻击者通过会话劫持窃取用户私有令牌。 直至本周三,GitLab 官方才确认已彻底解决这一问题。
日期:09月03日 作者:Linux
FFmpeg 'libavformat/rtmppkt.c'拒绝服务漏洞(CVE-2017-11665)
FFmpeg <= 3.3.2版本,libavformat/rtmppkt.c/ff_amf_get_field_value函数存在安全漏洞,可使远程攻击者通过构造的流文件,利用此漏洞造成拒绝服务。
日期:09月03日 作者:Linux
OpenJPEG tgatoimage函数栈缓冲区溢出漏洞(CVE-2017-14040)
OpenJPEG 2.2.0版本,bin/jp2/convert.c函数存在无效写访问,可导致tgatoimage函数崩溃,远程拒绝服务。
日期:09月02日 作者:Linux
OpenSSH 用户枚举漏洞(CVE-2016-6210)
OpenSSH < 7.3版本,若使用SHA256或SHA512进行用户密码哈希,用户名不存在时,sshd会对静态密码使用BLOWFISH哈希,导致远程攻击者利用较长密码响应时间差,确定用户名。
日期:09月01日 作者:Linux
Apache Batik XML外部实体信息泄露漏洞(CVE-2017-5662)
Apache Batik < 1.9版本在实现上存在安全漏洞,任意用户通过构造的SVG文件,可获取使用batik的服务器上的文件,若通过XXE攻击造成拒绝服务。
日期:09月01日 作者:Linux
GraphicsMagick ReadPNMImage函数拒绝服务漏洞(CVE-2017-14042)
GraphicsMagick 1.3.26版本,coders/pnm.c/ReadPNMImage函数存在内存分配问题,可导致magick/memory.c/MagickRealloc函数拒绝服务。
日期:08月31日 作者:Linux
OpenJPEG opj_t2_encode_packet函数堆缓冲区溢出漏洞(CVE-2017-14039)
OpenJPEG 2.2.0版本,lib/openjp2/t2.c/opj_t2_encode_packet函数存在堆缓冲区溢出漏洞,可导致远程拒绝服务。
日期:08月31日 作者:Linux
FFmpeg空指针间接引用拒绝服务漏洞(CVE-2017-9608)
FFmpeg <= 3.3.2版本,在实现上存在安全漏洞,可使远程攻击者利用此漏洞造成拒绝服务。
日期:08月31日 作者:Linux
Linux Kernel本地信息泄露漏洞(CVE-2017-7495)
Linux kernel < 4.6.2版本,ext4 data=ordered模式下,fs/ext4/inode.c未正确处理needs-flushing-before-commit列表,可使攻击者获取用户信息。
日期:08月30日 作者:Linux
FFmpeg 'libavcodec/apedec.c' 拒绝服务漏洞(CVE-2017-11399)
FFmpeg <= 3.3.2版本,libavcodec/apedec.c/ape_decode_frame函数存在安全漏洞,可使远程攻击者通过构造的APE文件,利用此漏洞造成拒绝服务。
日期:08月30日 作者:Linux
Linux Kernel本地信息泄露漏洞(CVE-2017-7616)
Linux kernel <= 4.10.9版本,mm/mempolicy.c中set_mempolicy及mbind compat系统调用错误处理不正确,可使本地用户获取未初始化栈数据敏感信息。
日期:08月30日 作者:Linux
PHP LibGD堆缓冲区溢出漏洞(CVE-2016-3074)
GD Graphics Library 2.1.1在实现上存在整数签名错误,可使攻击者通过构造的压缩gd2数据,执行任意代码。
日期:08月30日 作者:Linux
QPDF 拒绝服务漏洞(CVE-2017-12595)
QPDF 6.0.0及7.0.b1版本在tokenizer实现上存在安全漏洞,可使远程攻击者通过深层数据结构的PDF文档,造成拒绝服务等。
日期:08月29日 作者:Linux
Adobe Digital Editions内存破坏漏洞(CVE-2017-3091)
Adobe Digital Editions 4.5.4及更早版本在实现中存在内存破坏漏洞,攻击者利用此漏洞可执行任意代码。
日期:08月28日 作者:Linux
libxml2 本地栈缓冲区溢出漏洞(CVE-2017-9048)
libxml2 20904-GITv2.9.4-16-g0741801在valid.c/xmlSnprintfElementContent函数中存在栈缓冲区溢出漏洞,可导致受影响应用崩溃。
日期:08月27日 作者:Linux
augeas 内存破坏漏洞(CVE-2017-7555)
Augeas <= 1.8.0 未正确处理转义字符串,在实现上存在堆缓冲区溢出漏洞,可使攻击者通过构造的字符串,可导致应用崩溃或任意代码执行。
日期:08月26日 作者:Linux
SpiderControl SCADA MicroBrowser栈缓冲区溢出漏洞(CVE-2017-12707)
SCADA MicroBrowser 1.6.30.144及之前版本在实现上存在栈缓冲区溢出漏洞,可使攻击者获取提升的权限。
日期:08月24日 作者:Linux
Fortinet FortiManager权限提升漏洞(CVE-2015-3617)
Fortinet FortiManager 5.0<5.0.11、5.2<5.2.2版本在实现上存在安全漏洞,可使本地用户通过构造的CLI命令,获取提升的权限。
日期:08月23日 作者:Linux
ALC WebCTRL i-Vu/SiteScan Web文件上传漏洞(CVE-2017-9650)
ALC WebCTRL, i-Vu, SiteScan Web 6.5及之前版本在实现上存在未限制文件上传安全漏洞,可使经身份验证的用户上传恶意文件,执行代码。
日期:08月23日 作者:Linux
内容分类