Python pip本地拒绝服务漏洞（CVE-2014-8991）

2016年10月21日 9 阅读

发布日期：2014-11-20更新日期：2014-11-25受影响系统：Python pip描述：BUGTRAQ ID: 71209CVE（CAN） ID: CVE-2014-8991Python pip是安装和管理Python软件包的工具。Python pip的build目录是可预测的，在实现上存在本地拒绝服务漏洞，本地攻击者可利用此漏洞造成拒绝服务。<*来源：Paul Wise （pabs@debian.org） *>建议：厂商补丁：Pyt...

WordPress CM Download Manager插件远程PHP代码执行漏洞（CVE-2014-8877）

2016年10月21日 9 阅读

发布日期：2014-11-20更新日期：2014-11-25受影响系统：WordPress CM Download Manager <= 2.0.2描述：BUGTRAQ ID: 71204CVE（CAN） ID: CVE-2014-8877WordPress CM Download Manager多功能的下载管理器。CM Download Manager 2.0.0及之前版本在实现上存在代码注入漏洞，攻击者可利用此漏洞在受影响Web服务器上下文中执行...

Airhopper 把Android用户变黑客

2016年10月21日 9 阅读

和现实生活一样，网络世界中让你防不胜防的问题才是最可怕的，正如本古里安大学研究人员在波多黎各一场大型科技安全展会上展示的新型网络安全问题。根据过去一年进行的黑客实验，网络安全研究人员莫迪凯•古里（Mordechai Guri）和尤瓦尔•伊洛维奇（Yuval Elovici）向大家展示了其研究成果：AirHopper，一款Android手机应用。该应用可利用电脑或服务器硬件发出的电磁波窃取信息，这就意味着即使电脑完全不联网也会遭到黑客的袭...

Cisco IOS XR Software LISP TCP会话拒绝服务漏洞

2016年10月21日 9 阅读

发布日期：2014-11-24更新日期：2014-11-26受影响系统：Cisco IOS XR描述：BUGTRAQ ID: 71261CVE（CAN） ID: CVE-2014-8004Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS XR Software在LISP代码处理中存在漏洞，未经身份验证的远程攻击者可利用此漏洞造成LISP进程重载。<*来源：Cisco链接：http://tools.cisc...

WordPress WP Photo Album Plus插件跨站脚本漏洞（CVE-2014-8814）

2016年10月21日 9 阅读

发布日期：2014-11-24更新日期：2014-11-26受影响系统：WordPress WP Photo Album Plus 5.4.17描述：BUGTRAQ ID: 71263CVE（CAN） ID: CVE-2014-8814WP Photo Album Plus是管理和显示相册和幻灯片的插件。WP Photo Album Plus插件在实现上存在跨站脚本漏洞，攻击者可利用此漏洞在受影响站点用户浏览器中执行任意脚本代码。<*来源：Kacpe...

Mozilla Firefox WEBM文件处理整数溢出漏洞

2016年10月21日 9 阅读

发布日期：2014-10-28更新日期：2014-11-26受影响系统：Mozilla Firefox描述：BUGTRAQ ID: 71259Firefox是Mozilla所发布的WEB浏览器。Mozilla Firefox在处理WEBM文件时存在远程整数溢出漏洞，成功利用后可使攻击者在受影响应用上下文中执行任意代码。<*来源：Ian Stakenvicius*>建议：厂商补丁：Mozilla-------目前厂商已经发布了升级补丁以修复这个安...

WordPress服务器端请求伪造安全限制绕过漏洞

2016年10月21日 9 阅读

发布日期：2014-11-21更新日期：2014-11-26受影响系统：WordPress WordPress 4.xWordPress WordPress 3.x描述：BUGTRAQ ID: 71234WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL 数据库的服务器上架设属于自己的网站。WordPress 4.0.1, 3.9.3, 3.8.5, 3.7.5在实现上存在安全限制绕过漏洞，攻击者可利用此漏洞绕过某些安全...

WordPress密码重置邮件安全限制绕过漏洞

2016年10月21日 9 阅读

发布日期：2014-11-21更新日期：2014-11-26受影响系统：WordPress WordPress 4.xWordPress WordPress 3.x描述：BUGTRAQ ID: 71231WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL 数据库的服务器上架设属于自己的网站。WordPress 4.0.1, 3.9.3, 3.8.5, 3.7.5在实现上存在安全限制绕过漏洞，攻击者可利用此漏洞绕过某些安全...

Cisco IOS XR Software lighttpd TCP会话拒绝服务漏洞

2016年10月21日 9 阅读

发布日期：2014-11-24更新日期：2014-11-26受影响系统：Cisco IOS XR描述：BUGTRAQ ID: 71287CVE（CAN） ID: CVE-2014-8005Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS XR Software的lighttpd模块在TCP会话处理中存在竞争条件漏洞，未经身份验证的远程攻击者可利用此漏洞造成lighttpd进程重载。<*来源：Cisco链接...

Adobe Flash Player远程代码执行漏洞（CVE-2014-8439）

2016年10月21日 9 阅读

发布日期：2014-11-25更新日期：2014-11-26受影响系统：Adobe Flash Player 15.xAdobe Flash Player 14.xAdobe Flash Player 13.x描述：BUGTRAQ ID: 71289CVE（CAN） ID: CVE-2014-8439Adobe Flash Player是一个集成的多媒体播放器。Adobe AIR是针对网络与桌面应用的结合所开发出来的技术，可以不必经由浏览器而对网络上的云端...

Linux Kernel多个安全漏洞

2016年10月21日 9 阅读

发布日期：2014-11-23更新日期：2014-11-26受影响系统：Linux kernel描述：BUGTRAQ ID: 71253Linux Kernel是Linux操作系统的内核。Linux Kernel在实现上存在多个安全漏洞，攻击者可利用此漏洞混淆信号传输或破坏内核栈。<*来源：Andy Lutomirski*>建议：厂商补丁：Linux-----目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www...

Android WAPPushManager模块SQL注入漏洞

2016年10月21日 9 阅读

发布日期：2014-11-26更新日期：2014-11-27受影响系统：Android Android < 5.0描述：BUGTRAQ ID: 71310CVE（CAN） ID: CVE-2014-8507Android是基于Linux开放性内核的操作系统，是Google公司在2007年11月5日公布的手机操作系统。Android 5.0之前版本的WAPPushManager模块存在sql注入漏洞，攻击者可远程发送畸形WAPPush消息，利用此漏洞执...

xEpan跨站请求伪造漏洞（CVE-2014-8429）

2016年10月21日 9 阅读

发布日期：2014-11-26更新日期：2014-11-27受影响系统：xEpan xEpan <= 1.0.1xEpan xEpan描述：BUGTRAQ ID: 71309CVE（CAN） ID: CVE-2014-8429xEpan是开源PHP CMS。xEpan在创建新帐户时没有有效验证HTTP请求，未经身份验证的远程攻击者可引诱已经登录的管理员浏览恶意网页，利用此漏洞执行未授权操作。<*来源：High-Tech Bridge Secur...

Hikvision DVR DS-7204远程缓冲区溢出漏洞（CVE-2014-4880）

2016年10月21日 9 阅读

发布日期：2014-11-24更新日期：2014-11-27受影响系统：hikvision DVR DS-7204 2.2.10描述：BUGTRAQ ID: 71300CVE（CAN） ID: CVE-2014-4880Hikvision DVR DS-7204是硬盘录像机产品。Hikvision DVR DS-7204（固件版本2.2.10）在RTSP请求基本身份验证解析代码的实现上存在缓冲区溢出漏洞，攻击者可利用此漏洞在受影响设备上下文中执行任意代码。...

Android Settings应用权限提升漏洞

2016年10月21日 9 阅读

发布日期：2014-11-26更新日期：2014-11-27受影响系统：Android Android < 5.0描述：BUGTRAQ ID: 71314CVE（CAN） ID: CVE-2014-8609Android是基于Linux开放性内核的操作系统，是Google公司在2007年11月5日公布的手机操作系统。Android 5.0之前版本中，Settings应用的AddAccountSettings.java中存在漏洞，会向第三方泄露Pend...

Centreon本地信息泄露漏洞

2016年10月21日 9 阅读

发布日期：2014-11-27更新日期：2014-11-28受影响系统：Centreon Centreon <= 2.5.3描述：BUGTRAQ ID: 71336Centreon是一款开源的软件，主要用于与nagios搭配，通过页面管理nagios，通过第三方组件实现对网络，操作系统，应用程序的监控。Centreon 2.5.3及之前版本在实现上存在本地信息泄露漏洞，攻击者可利用此漏洞获取敏感信息。<*来源：Damien Cauquil*&g...

Xen拒绝服务漏洞（CVE-2014-8866）

2016年10月21日 9 阅读

发布日期：2014-11-27更新日期：2014-11-28受影响系统：XenSource Xen <= 3.2.x描述：BUGTRAQ ID: 71332CVE（CAN） ID: CVE-2014-8866Xen是一个开源虚拟机监视器，由剑桥大学开发。在x86系统上，3.3以上版本的Xen存在安全漏洞，可以访问HVM客户端系统的攻击者可利用此漏洞使主机崩溃。<*来源：Jan Beulich链接：http://seclists.org/oss-...

ClamAV “cli_scanpe（）”缓冲区溢出漏洞

2016年10月21日 9 阅读

发布日期：2014-11-25更新日期：2014-11-28受影响系统：ClamAV ClamAV < 0.98.5描述：CVE（CAN） ID: CVE-2014-9050Clam AntiVirus是Unix的GPL杀毒工具包，很多邮件网关产品都在使用。ClamAV 0.98.5之前版本在"cli_scanpe（）"函数（libclamav/pe.c）在实现上出现错误，攻击者可利用此漏洞造成堆缓冲区溢出，导致任意代码执行。<*来源：Dami...

Aruba Networks AirWave任意命令执行漏洞（CVE-2014-8368）

2016年10月21日 9 阅读

发布日期：2014-11-25更新日期：2014-11-28受影响系统：Aruba Networks AirWave < 8.0.5Aruba Networks AirWave < 7.7.14描述：BUGTRAQ ID: 71337CVE（CAN） ID: CVE-2014-8368Aruba Networks AirWave是无线网络管理系统。Aruba Networks AirWave 7.7.14之前版本、8.0.5之前版本的Web接口...

GNU Cpio “list_file（）”内存破坏漏洞

2016年10月21日 9 阅读

发布日期：2014-11-27更新日期：2014-11-28受影响系统：GNU cpio 2.11描述：CVE（CAN） ID: CVE-2014-9112GNU Cpio可以将文件复制到cpio或tar压缩包，也可从中取出。GNU Cpio 2.11及其他版本在"list_file（）"函数（src/copyin.c）的实现上存在错误，成功利用后可造成内存破坏。<*来源：Michal Zalewski （lcamtuf@echelon.pl） 链接...