你好,游客 登录 注册 搜索
rss订阅 手机访问 
Linux安全
Linux kernel本地拒绝服务漏洞(CVE-2017-8831)
Linux kernel 4.11.5及之前版本,drivers/media/pci/saa7164/saa7164-bus.c/saa7164_bus_get函数存在安全漏洞,本地用户利用此漏洞造成拒绝服务。
日期:08月23日 作者:Linux
Cisco Ultra Services Platform信息泄露漏洞(CVE-2017-6778)
Cisco Ultra Services Platform的ESC Web接口存在安全漏洞,可使经身份验证的远程攻击者获取敏感信息。此漏洞源于敏感信息作为GET部分请求传输。
日期:08月22日 作者:Linux
Mozilla Firefox释放后重利用拒绝服务漏洞(CVE-2017-7806)
Mozilla Firefox呈现特定SVG内容时过早释放了层管理器,在实现上存在释放后重利用漏洞,可导致应用崩溃。
日期:08月22日 作者:Linux
Foxit PDF Reader任意文件写漏洞(CVE-2017-10952)
Foxit pdf Reader在实现上存在任意文件写漏洞,能让攻击者在目标系统写入任意文件,攻击者可以利用该漏洞获取代码执行能力。此漏洞位于saveAs函数。
日期:08月22日 作者:Linux
CVE-2017-3085:Adobe Flash泄漏Windows用户凭证
早前我写了一篇文章讲述Flash沙盒逃逸漏洞最终导致Flash Player使用了十年之久的本地安全沙盒项目破产。从之前爆出的这个漏洞就可以看出输入验证的重要性,靠着Flash运行时混合UNC以及文件URI就足够提取本地数据,之后获取Windows用户凭证传输给远端SMB服务器。
日期:08月21日 作者:鸢尾编译
Cisco Prime Infrastructure HTML注入漏洞(CVE-2017-6782)
Cisco Prime Infrastructure的管理Web接口存在安全漏洞,可使经身份验证的远程攻击者,修改受影响应用的web接口页面。此漏洞源于未正确过滤参数值。攻击者通过注入恶意代码到受影响参数并诱使用户访问恶意页面利用此漏洞。
日期:08月20日 作者:Linux
Cisco Policy Suite 权限提升漏洞(CVE-2017-6781)
Cisco Policy Suite (CPS)软件在管理shell用户账号中存在安全漏洞,可使经身份验证的本地攻击者获取提升的权限。此漏洞源于shell用户账号不正确的角色访问控制。
日期:08月19日 作者:Linux
PostgreSQL 远程拒绝服务漏洞(CVE-2017-7548)
PostgreSQL < 9.4.13, 9.5.8, 9.6.4版本存在授权漏洞,可使远程攻击者在未授权情况下覆盖对象内容,导致拒绝服务。
日期:08月18日 作者:Linux
389 Directory Server信息泄露漏洞(CVE-2017-7551)
389-ds-base < 1.3.5.19、1.3.6.7版本,在帐户锁定过程中存在密码暴力破解漏洞,可导致信息泄露。
日期:08月18日 作者:Linux
Advantech WebOP 堆缓冲区溢出漏洞(CVE-2017-12705)
Advantech WebOP在实现上存在堆缓冲区溢出漏洞,可导致进程崩溃及任意代码执行。
日期:08月18日 作者:Linux
PostgreSQL 信息泄露漏洞(CVE-2017-7547)
PostgreSQL < 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4版本存在授权漏洞,可使远程攻击者从用户映射中检索密码。
日期:08月18日 作者:Linux
Foxit PDF Compressor installer DLL预加载漏洞(CVE-2017-12892)
Foxit PDF Compressor installer 7.0.0.183-7.7.2.10版本,在实现上存在DLL预加载漏洞,可使攻击者在当前安装工作目录中加载恶意DLL。
日期:08月18日 作者:Linux
SIMPlight SCADA Software DLL加载本地代码执行漏洞(CVE-2017-9661)
SIMPlight SCADA Software 4.3.0.27及之前版本存在不受控制的搜索路径元素漏洞,可使攻击者通过在搜索路径中放置恶意的DLL文件,导致任意代码执行。
日期:08月17日 作者:Linux
Apache Sling Servlets Post跨站脚本漏洞(CVE-2017-9802)
Apache Sling Servlets Post < 2.3.22版本,Sling.evalString()使用javascript 'eval'函数解析输入字符串,可导致跨站脚本攻击。
日期:08月16日 作者:Linux
Fortinet FortiManager SQL注入漏洞(CVE-2015-3616)
Fortinet FortiManager 5.0.x < 5.0.11, 5.2.x < 5.2.2版本存在sql注入漏洞,可使攻击者执行任意命令。
日期:08月16日 作者:Linux
Apache Tomcat 目录遍历漏洞(CVE-2017-7675)
Apache Tomcat 9.0.0.M1-9.0.0.M21、Apache Tomcat 8.5.0-8.5.15版本,在HTTP/2实现中存在安全限制绕过漏洞,可使攻击者通过构造的URL,利用此漏洞,绕过安全限制。
日期:08月15日 作者:Linux
Apache Tomcat 缓存投毒漏洞(CVE-2017-7674)
Apache Tomcat 9.0.0.M1-9.0.0.M21版本,在CORS过滤器实现中,未添加HTTP Vary标头,表明响应根据来源变化,在实现上存在安全漏洞,可导致客户端及服务器端缓存中毒。
日期:08月15日 作者:Linux
Adobe Acrobat/Reader内存破坏漏洞(CVE-2017-3124)
Adobe Acrobat Reader <= 2017.009.20058、<= 2017.008.30051、<= 2015.006.30306、<= 11.0.20版本,在PCX文件格式解析模块中存在内存破坏漏洞,成功利用后可导致任意代码执行。
日期:08月14日 作者:Linux
Microsoft Jet Database Engine 缓冲区溢出漏洞(CVE-2017-0250)
Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, 1703, Windows Server 2016 版本,Microsoft JET Database Engine实现中存在缓冲区溢出安全漏洞,可使攻击者远程执行任意代码。
日期:08月13日 作者:Linux
“转移战场”的暗网市场继续繁荣
7月20日,美国前司法部长JeffSessions在新闻发布会上宣布了当前全球最大黑市网站“阿尔法湾”(AlphaBay)覆灭的消息。7月初,许多用户突然发现无法登录阿尔法湾或者交易无故中止,有的买家以为自己遇到了骗子,有的则忙着搬家到另一个人气旺盛的暗网市场&...
日期:08月12日 作者:米雪儿编译
ImageMagick 拒绝服务漏洞(CVE-2017-12434)
ImageMagick 7.0.6-1版本在coders/mat.c的ReadMATImage函数实现上缺少NULL检查,可使攻击者造成 image.c/DestroyImageInfo 拒绝服务。
日期:08月09日 作者:Linux
Microsoft Edge信息泄露漏洞(CVE-2017-8659)
Microsoft Windows 10 1703版本,Chakra脚本引擎处理内存对象中存在安全漏洞,可使攻击者获取敏感信息。
日期:08月09日 作者:Linux
Dell Storage Manager目录遍历漏洞(CVE-2017-10949)
Dell Storage Manager 2016 R2.1在实现上存在目录遍历漏洞,若EmWebsiteServlet类的doGet方法没有正确验证用户路径,可导致信息泄露。
日期:08月08日 作者:Linux
Linux Kernel 本地竞争条件漏洞(CVE-2017-7533)
Linux kernel <= 4.12.4版本,fsnotify实现中存在竞争条件漏洞,可使本地用户通过构造的应用,获取提升的权限或造成拒绝服务(内存破坏)。
日期:08月08日 作者:Linux
Schneider Electric Pro-face GP-Pro EX任意代码执行漏洞(CVE-2017-9961)
GP Pro EX 4.07.000版本在实现上存在不受控制的搜索路径元素,可使攻击者迫使进程加载任意DLL,并在当前进程中执行任意代码。
日期:08月07日 作者:Linux
Trend Micro Control Manager目录遍历漏洞(CVE-2017-11389)
Trend Micro Control Manager 6.0版本在实现中存在目录遍历漏洞,成功利用后可使攻击者执行任意代码。
日期:08月04日 作者:Linux
Eaton ELCSoft ELCSimulator栈缓冲区溢出漏洞
Eaton ELCSoft在ELCSimulator.exe处理网络TCP请求中存在安全漏洞,可使远程攻击者执行任意代码。
日期:08月04日 作者:Linux
宝马、福特和尼桑等使用的 2G Modem 发现安全漏洞
安全研究人员在多个汽车品牌使用的电子控制单元组件中发现了两个安全漏洞。存在漏洞的电子控制单元使用的是 S-Gold 2 (PMB 8876)基带芯片。受影响的汽车包括宝马在 2009-2010 之间生产的多个型号
日期:08月03日 作者:Linux
漏洞修复八个月后,仍有超过七万台 memcached 服务器面临危险
在开源缓存软件 memcached 修复了三个关键漏洞的八个月之后,仍有超过 70000 台未打补丁的缓存服务器直接暴露在互联网上。安全研究员警告说,黑客可能会在服务器上执行恶意代码或从其缓存中窃取潜在的敏感数据。
日期:07月29日 作者:Linux
CNNVD关于Microsoft Windows输入验证漏洞情况的通报
近日, 国家信息安全漏洞库(CNNVD)收到有关Microsoft Windows输入验证漏洞(CNNVD-201706-561)利用工具的情况报送。该漏洞存在于多个版本的Windows系统中,远程攻击者可借助特制的.LNK文件利用该漏洞执行任意代码。
日期:07月29日 作者:CNNVD
内容分类