Imagemagick越界本地内存破坏漏洞（CVE-2014-8354）

2016年10月21日 9 阅读

发布日期：2014-10-27更新日期：2014-10-31受影响系统：ImageMagick ImageMagick 6.8.9-9描述：BUGTRAQ ID: 70830CVE（CAN） ID: CVE-2014-8354ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。Imagemagick 6.8.9-9版本resize代码中存在越界内存访问漏洞，攻击者可利用此漏洞获取敏感信息或在受影响应用上下文中执行任意代码。<...

McAfee Network Data Loss Prevention信息泄露漏洞（CVE-2014-8522）

2016年10月21日 9 阅读

发布日期：2014-10-28更新日期：2014-10-31受影响系统：McAfee Network Data Loss Prevention <= 9.2.1McAfee Network Data Loss Prevention <= 9.2.0McAfee Network Data Loss Prevention <= 8.6描述：BUGTRAQ ID: 70817CVE（CAN） ID: CVE-2014-8522McAfee Ne...

McAfee Network Data Loss Prevention跨站脚本漏洞（CVE-2014-8521）

2016年10月21日 9 阅读

发布日期：2014-10-28更新日期：2014-10-31受影响系统：McAfee Network Data Loss Prevention <= 9.2.1McAfee Network Data Loss Prevention <= 9.2.0McAfee Network Data Loss Prevention <= 8.6描述：BUGTRAQ ID: 70820CVE（CAN） ID: CVE-2014-8521McAfee Ne...

McAfee Network Data Loss Prevention信息泄露漏洞（CVE-2014-8520）

2016年10月21日 9 阅读

发布日期：2014-10-28更新日期：2014-10-31受影响系统：McAfee Network Data Loss Prevention <= 9.2.1McAfee Network Data Loss Prevention <= 9.2.0McAfee Network Data Loss Prevention <= 8.6描述：BUGTRAQ ID: 70815CVE（CAN） ID: CVE-2014-8520McAfee Ne...

Imagemagick PCX解析器本地内存破坏漏洞（CVE-2014-8355）

2016年10月21日 10 阅读

发布日期：2014-10-27更新日期：2014-10-31受影响系统：ImageMagick ImageMagick 6.8.9-9描述：BUGTRAQ ID: 70839CVE（CAN） ID: CVE-2014-8355ImageMagick是一款Unix/Linux平台下开源的图像查看和编辑工具。Imagemagick 6.8.9-9版本PCX解析器中存在安全漏洞，攻击者可利用此漏洞造成拒绝服务。<*来源：Hanno Boeck （hanno...

Ruby on Rails Action Pack组件信息泄露漏洞（CVE-2014-7818）

2016年10月21日 10 阅读

发布日期：2014-10-30更新日期：2014-10-31受影响系统：Ruby on Rails Ruby on Rails描述：BUGTRAQ ID: 70789CVE（CAN） ID: CVE-2014-7818Action Pack组件是构建和测试MVC Web应用的约定。Action Pack 3.0.0及之前版本在实现上存在信息泄露漏洞，成功利用后可获取敏感信息。<*来源：Aaron Patterson*>建议：厂商补丁：Ruby ...

GitLab 不受 Rails 安全漏洞 CVE-2014-7818 影响

2016年10月21日 9 阅读

昨天 Rails 框架发布一个安全漏洞 security advisory for file existence disclosure vulnerability CVE-2014-7818. GitLab 并不受此漏洞影响。CVE-2014-7818 影响使用了 config.serve_static_assets = true 的 Rails 应用，而 Gitlab 中这个配置值为 false，配置文件位于 config/environments/pr...

Drupal 漏洞发布7小时内遭自动化攻击，上百万网站经历生死时速

2016年10月21日 9 阅读

Drupal是今天新闻、博客等内容网站最流行的内容管理平台之一，和安全牛之前报道过的影响170万网站的wordpress插件漏洞一样，Drupal近日也爆出一个影响上百万网站的严重安全漏洞，更糟糕的是漏洞发布7小时内就遭受自动化攻击，这意味着大量Drupal网站都无法幸免。昨天Drupal发出紧急通知：10月15日一个Drupal平台的SQL注入漏洞在公布7小时内遭受黑客大规模自动化攻击，所有在该漏洞发布7小时内没有及时更新补丁或升级到Drupal 7.3...

可能有多达1200万网站因Drupal漏洞被入侵

2016年10月21日 9 阅读

开源内容管理系统Drupal发出警告，如果没有在安全修正发布7小时内打上补丁，那么使用Drupal 7的网站可以假定他们已经遭到了攻击者入侵。自动攻击工具已能利用漏洞去控制网站。安全公司Sophos的分析师Mark Stockley说，这一警告令人震惊。他估计全世界大约有10亿个网站，其中 5.1% 的网站是使用Drupal管理内容，有多达1200万个网站需要用户手动打上补丁，而大多数网站不太可能及时打上补丁。他认为Drupal不应该依靠用户去安装安全更新...

Citrix XenMobile MDX Toolkit信息泄露漏洞（CVE-2014-8495）

2016年10月21日 9 阅读

发布日期：2014-10-29更新日期：2014-11-01受影响系统：Citrix XenMobile MDX Toolkit描述：BUGTRAQ ID: 70799CVE（CAN） ID: CVE-2014-8495Citrix XenMobile MDX Toolkit可以用Citrix逻辑和策略封装iOS或Android上的移动应用。XenMobile MDX Toolki内存在安全漏洞，可造成缓存应用数据不对封装应用加密，这可使攻击者获取敏感信息...

OS X Yosemite 爆多个严重安全漏洞

2016年10月21日 9 阅读

来自瑞典安全公司 Truesec 的 Emil Kvarnhammar 发现最新代号为 Yosemite 的 OS X 10.10 中存在多个安全漏洞，他将之命名为 —— rootpipe。他发表文章解释如何发现这些漏洞以及如何预防。这些安全漏洞导致攻击者无需密码即可获得机器的最高权限，也就是 root 访问。目前苹果公司尚未修复这些漏洞，Truesec 将不会提供漏洞的工作原理。OS X 的详细介绍：请点这里...

ALLPlayer 5.6.2版本本地缓冲区溢出漏洞

2016年10月21日 9 阅读

发布日期：2014-10-30更新日期：2014-11-04受影响系统：ALLPlayer ALLPlayer 5.6.2－5.8.1描述：CVE（CAN） ID: CVE-2013-7409ALLPlayer是媒体播放软件。ALLPlayer 5.6.2－5.8.1版本在实现上存在缓冲区溢出漏洞，远程攻击者通过.m3u文件内的较长字符串，利用此漏洞可造成拒绝服务和执行任意代码。<*来源：metacom*>测试方法：警 告以下程序（方法）可能带...

多个McAfee产品密码哈希算法安全漏洞（CVE-2014-8565）

2016年10月21日 9 阅读

发布日期：2014-10-31更新日期：2014-11-04受影响系统：McAfee FRP 4.3.0.xMcAfee EEFF 4.2.xMcAfee EEFF 4.1.xMcAfee EEFF 4.0.xMcAfee EEFF 3.2.x描述：BUGTRAQ ID: 70865CVE（CAN） ID: CVE-2014-8565McAfee File and Removable Media Protection （FRP）是文件及文件夹端点加密解决方...

HP LaserJet Printers远程拒绝服务漏洞（CVE-2014-7875）

2016年10月21日 9 阅读

发布日期：2014-10-30更新日期：2014-11-04受影响系统：HP LaserJet描述：BUGTRAQ ID: 70863CVE（CAN） ID: CVE-2014-7875惠普是全球领先高科技提供商，提供笔记本、台式电脑、工作站等全线产品。HP LaserJet CM3530多功能打印机（模块号CC519A, CC520A;固件版本v.53.236.2及其他版本）存在远程拒绝服务，远程成功利用可在未授权情况下访问数据或导致拒绝服务。<*...

多个Linksys EA系列路由器密码管理漏洞（CVE-2014-8243）

2016年10月21日 9 阅读

发布日期：2014-10-31更新日期：2014-11-04受影响系统：Linksys EA系列路由器 EA6900Linksys EA系列路由器 EA6700Linksys EA系列路由器 EA6500Linksys EA系列路由器 EA6400Linksys EA系列路由器 EA6300Linksys EA系列路由器 EA6200Linksys EA系列路由器 EA4500描述：BUGTRAQ ID: 70860CVE（CAN） ID: CVE-201...

多个Linksys EA系列路由器信息泄露漏洞（CVE-2014-8244）

2016年10月21日 9 阅读

发布日期：2014-10-31更新日期：2014-11-04受影响系统：Linksys EA系列路由器 EA6900Linksys EA系列路由器 EA6700Linksys EA系列路由器 EA6500Linksys EA系列路由器 EA6400Linksys EA系列路由器 EA6300Linksys EA系列路由器 EA6200Linksys EA系列路由器 EA4500描述：BUGTRAQ ID: 70864CVE（CAN） ID: CVE-201...

EllisLab ExpressionEngine Core多个SQL注入漏洞（CVE-2014-5387）

2016年10月21日 10 阅读

发布日期：2014-11-03更新日期：2014-11-04受影响系统：EllisLab ExpressionEngine Core <＝ 2.9.0EllisLab ExpressionEngine Core描述：BUGTRAQ ID: 70875CVE（CAN） ID: CVE-2014-5387EllisLab ExpressionEngine Core是内容管理平台。EllisLab ExpressionEngine Core 2.9.0及之...

FFmpeg及Libav 越界拒绝服务漏洞（CVE-2014-8548）

2016年10月21日 9 阅读

发布日期：2014-10-03更新日期：2014-11-04受影响系统：FFmpeg FFmpeg < 2.4.2FFmpeg FFmpeg描述：BUGTRAQ ID: 70888CVE（CAN） ID: CVE-2014-8548FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件。Libav是一个跨平台的自由软件，可以执行多媒体格式和协议的录影、转档、串流功能。FFmpeg及Libav在实现上存在拒绝服务漏洞，攻击者可利...

FFmpeg及Libav 越界拒绝服务漏洞（CVE-2014-8545）

2016年10月21日 10 阅读

发布日期：2014-10-03更新日期：2014-11-04受影响系统：FFmpeg FFmpeg < 2.4.2FFmpeg FFmpeg描述：BUGTRAQ ID: 70886CVE（CAN） ID: CVE-2014-8545FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件。Libav是一个跨平台的自由软件，可以执行多媒体格式和协议的录影、转档、串流功能。FFmpeg及Libav在实现上存在拒绝服务漏洞，攻击者可利...

Linux Kernel本地拒绝服务漏洞（CVE-2014-8559）

2016年10月21日 9 阅读

发布日期：2014-10-30更新日期：2014-11-04受影响系统：Linux kernel描述：BUGTRAQ ID: 70854CVE（CAN） ID: CVE-2014-8559Linux Kernel是Linux操作系统的内核。Linux kernel的fs由于没有正确使用rename_lock在实现上存在死锁问题，本地攻击者可利用此漏洞造成拒绝服务。<*来源：Sasha Levin*>建议：厂商补丁：Linux-----目前厂商还...