你好,游客 登录 注册 搜索
rss订阅 手机访问 
Linux安全
FFmpeg 'libavcodec/apedec.c' 拒绝服务漏洞(CVE-2017-11399)
FFmpeg <= 3.3.2版本,libavcodec/apedec.c/ape_decode_frame函数存在安全漏洞,可使远程攻击者通过构造的APE文件,利用此漏洞造成拒绝服务。
日期:08月30日 作者:Linux
Linux Kernel本地信息泄露漏洞(CVE-2017-7616)
Linux kernel <= 4.10.9版本,mm/mempolicy.c中set_mempolicy及mbind compat系统调用错误处理不正确,可使本地用户获取未初始化栈数据敏感信息。
日期:08月30日 作者:Linux
PHP LibGD堆缓冲区溢出漏洞(CVE-2016-3074)
GD Graphics Library 2.1.1在实现上存在整数签名错误,可使攻击者通过构造的压缩gd2数据,执行任意代码。
日期:08月30日 作者:Linux
QPDF 拒绝服务漏洞(CVE-2017-12595)
QPDF 6.0.0及7.0.b1版本在tokenizer实现上存在安全漏洞,可使远程攻击者通过深层数据结构的PDF文档,造成拒绝服务等。
日期:08月29日 作者:Linux
Adobe Digital Editions内存破坏漏洞(CVE-2017-3091)
Adobe Digital Editions 4.5.4及更早版本在实现中存在内存破坏漏洞,攻击者利用此漏洞可执行任意代码。
日期:08月28日 作者:Linux
libxml2 本地栈缓冲区溢出漏洞(CVE-2017-9048)
libxml2 20904-GITv2.9.4-16-g0741801在valid.c/xmlSnprintfElementContent函数中存在栈缓冲区溢出漏洞,可导致受影响应用崩溃。
日期:08月27日 作者:Linux
augeas 内存破坏漏洞(CVE-2017-7555)
Augeas <= 1.8.0 未正确处理转义字符串,在实现上存在堆缓冲区溢出漏洞,可使攻击者通过构造的字符串,可导致应用崩溃或任意代码执行。
日期:08月26日 作者:Linux
SpiderControl SCADA MicroBrowser栈缓冲区溢出漏洞(CVE-2017-12707)
SCADA MicroBrowser 1.6.30.144及之前版本在实现上存在栈缓冲区溢出漏洞,可使攻击者获取提升的权限。
日期:08月24日 作者:Linux
Fortinet FortiManager权限提升漏洞(CVE-2015-3617)
Fortinet FortiManager 5.0<5.0.11、5.2<5.2.2版本在实现上存在安全漏洞,可使本地用户通过构造的CLI命令,获取提升的权限。
日期:08月23日 作者:Linux
ALC WebCTRL i-Vu/SiteScan Web文件上传漏洞(CVE-2017-9650)
ALC WebCTRL, i-Vu, SiteScan Web 6.5及之前版本在实现上存在未限制文件上传安全漏洞,可使经身份验证的用户上传恶意文件,执行代码。
日期:08月23日 作者:Linux
Linux kernel本地拒绝服务漏洞(CVE-2017-8831)
Linux kernel 4.11.5及之前版本,drivers/media/pci/saa7164/saa7164-bus.c/saa7164_bus_get函数存在安全漏洞,本地用户利用此漏洞造成拒绝服务。
日期:08月23日 作者:Linux
Cisco Ultra Services Platform信息泄露漏洞(CVE-2017-6778)
Cisco Ultra Services Platform的ESC Web接口存在安全漏洞,可使经身份验证的远程攻击者获取敏感信息。此漏洞源于敏感信息作为GET部分请求传输。
日期:08月22日 作者:Linux
Mozilla Firefox释放后重利用拒绝服务漏洞(CVE-2017-7806)
Mozilla Firefox呈现特定SVG内容时过早释放了层管理器,在实现上存在释放后重利用漏洞,可导致应用崩溃。
日期:08月22日 作者:Linux
Foxit PDF Reader任意文件写漏洞(CVE-2017-10952)
Foxit pdf Reader在实现上存在任意文件写漏洞,能让攻击者在目标系统写入任意文件,攻击者可以利用该漏洞获取代码执行能力。此漏洞位于saveAs函数。
日期:08月22日 作者:Linux
CVE-2017-3085:Adobe Flash泄漏Windows用户凭证
早前我写了一篇文章讲述Flash沙盒逃逸漏洞最终导致Flash Player使用了十年之久的本地安全沙盒项目破产。从之前爆出的这个漏洞就可以看出输入验证的重要性,靠着Flash运行时混合UNC以及文件URI就足够提取本地数据,之后获取Windows用户凭证传输给远端SMB服务器。
日期:08月21日 作者:鸢尾编译
Cisco Prime Infrastructure HTML注入漏洞(CVE-2017-6782)
Cisco Prime Infrastructure的管理Web接口存在安全漏洞,可使经身份验证的远程攻击者,修改受影响应用的web接口页面。此漏洞源于未正确过滤参数值。攻击者通过注入恶意代码到受影响参数并诱使用户访问恶意页面利用此漏洞。
日期:08月20日 作者:Linux
Cisco Policy Suite 权限提升漏洞(CVE-2017-6781)
Cisco Policy Suite (CPS)软件在管理shell用户账号中存在安全漏洞,可使经身份验证的本地攻击者获取提升的权限。此漏洞源于shell用户账号不正确的角色访问控制。
日期:08月19日 作者:Linux
PostgreSQL 远程拒绝服务漏洞(CVE-2017-7548)
PostgreSQL < 9.4.13, 9.5.8, 9.6.4版本存在授权漏洞,可使远程攻击者在未授权情况下覆盖对象内容,导致拒绝服务。
日期:08月18日 作者:Linux
389 Directory Server信息泄露漏洞(CVE-2017-7551)
389-ds-base < 1.3.5.19、1.3.6.7版本,在帐户锁定过程中存在密码暴力破解漏洞,可导致信息泄露。
日期:08月18日 作者:Linux
Advantech WebOP 堆缓冲区溢出漏洞(CVE-2017-12705)
Advantech WebOP在实现上存在堆缓冲区溢出漏洞,可导致进程崩溃及任意代码执行。
日期:08月18日 作者:Linux
PostgreSQL 信息泄露漏洞(CVE-2017-7547)
PostgreSQL < 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4版本存在授权漏洞,可使远程攻击者从用户映射中检索密码。
日期:08月18日 作者:Linux
Foxit PDF Compressor installer DLL预加载漏洞(CVE-2017-12892)
Foxit PDF Compressor installer 7.0.0.183-7.7.2.10版本,在实现上存在DLL预加载漏洞,可使攻击者在当前安装工作目录中加载恶意DLL。
日期:08月18日 作者:Linux
SIMPlight SCADA Software DLL加载本地代码执行漏洞(CVE-2017-9661)
SIMPlight SCADA Software 4.3.0.27及之前版本存在不受控制的搜索路径元素漏洞,可使攻击者通过在搜索路径中放置恶意的DLL文件,导致任意代码执行。
日期:08月17日 作者:Linux
Apache Sling Servlets Post跨站脚本漏洞(CVE-2017-9802)
Apache Sling Servlets Post < 2.3.22版本,Sling.evalString()使用javascript 'eval'函数解析输入字符串,可导致跨站脚本攻击。
日期:08月16日 作者:Linux
Fortinet FortiManager SQL注入漏洞(CVE-2015-3616)
Fortinet FortiManager 5.0.x < 5.0.11, 5.2.x < 5.2.2版本存在sql注入漏洞,可使攻击者执行任意命令。
日期:08月16日 作者:Linux
Apache Tomcat 目录遍历漏洞(CVE-2017-7675)
Apache Tomcat 9.0.0.M1-9.0.0.M21、Apache Tomcat 8.5.0-8.5.15版本,在HTTP/2实现中存在安全限制绕过漏洞,可使攻击者通过构造的URL,利用此漏洞,绕过安全限制。
日期:08月15日 作者:Linux
Apache Tomcat 缓存投毒漏洞(CVE-2017-7674)
Apache Tomcat 9.0.0.M1-9.0.0.M21版本,在CORS过滤器实现中,未添加HTTP Vary标头,表明响应根据来源变化,在实现上存在安全漏洞,可导致客户端及服务器端缓存中毒。
日期:08月15日 作者:Linux
Adobe Acrobat/Reader内存破坏漏洞(CVE-2017-3124)
Adobe Acrobat Reader <= 2017.009.20058、<= 2017.008.30051、<= 2015.006.30306、<= 11.0.20版本,在PCX文件格式解析模块中存在内存破坏漏洞,成功利用后可导致任意代码执行。
日期:08月14日 作者:Linux
Microsoft Jet Database Engine 缓冲区溢出漏洞(CVE-2017-0250)
Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, 1703, Windows Server 2016 版本,Microsoft JET Database Engine实现中存在缓冲区溢出安全漏洞,可使攻击者远程执行任意代码。
日期:08月13日 作者:Linux
“转移战场”的暗网市场继续繁荣
7月20日,美国前司法部长JeffSessions在新闻发布会上宣布了当前全球最大黑市网站“阿尔法湾”(AlphaBay)覆灭的消息。7月初,许多用户突然发现无法登录阿尔法湾或者交易无��中止,有的买家以为自己遇到了骗子,有的则忙着搬家到另一个人气旺盛的暗网市场&...
日期:08月12日 作者:米雪儿编译
内容分类