VMware vCloud Automation Center远程权限提升漏洞（CVE-2014-8373）

2016年10月21日 9 阅读

发布日期：2014-12-09更新日期：2014-12-12受影响系统：VMWare vCloud Automation Center 6.x描述：BUGTRAQ ID: 71587CVE（CAN） ID: CVE-2014-8373VMware vCloud Automation Center是VMware的统一云管理软件产品。vCloud Automation Center 6.1.1, 6.1, 6.0.1.2, 6.0.1.1, 6.0.1版本在实...

BitTorrent远程代码执行漏洞（CVE-2014-8515）

2016年10月21日 9 阅读

发布日期：2014-12-09更新日期：2014-12-12受影响系统：BitTorrent BitTorrent描述：BUGTRAQ ID: 71630CVE（CAN） ID: CVE-2014-8515BitTorent是一种内容分发协议，采用了高效的软件分发系统和点对点技术。BitTorent在端口10000的Web接口中存在安全漏洞，攻击者通过提供正确匹配的值，就可以在torrent完成下载后执行命令。<*来源：lokihardt@ASRT链...

Lexmark MarkVision Enterprise远程代码执行漏洞（CVE-2014-8741）

2016年10月21日 9 阅读

发布日期：2014-12-09更新日期：2014-12-12受影响系统：Lexmark MarkVision Enterprise描述：BUGTRAQ ID: 71623CVE（CAN） ID: CVE-2014-8741Lexmark MarkVision Enterprise是基于Web的设备管理软件。Lexmark MarkVision Enterprise 2.1之前版本的GfdFileUploadServlet类中存在安全漏洞，此类包含的方法没有...

伊朗黑客用VB恶意程序破坏赌场的计算机

2016年10月21日 9 阅读

不要激怒国外政府的领导人，这是索尼影业得到的教训。而根据彭博商业周刊的报道，索尼影业不是唯一一家被外国黑客破坏计算机网络的公司：拥有拉斯维加斯多家赌场和酒店的Las Vegas Sands Corp.也遭到了类似攻击，原因是Sands的最大股东Sheldon Adelson去年10月发出呼吁，用“核平伊朗”的威胁让伊朗放弃核武器发展计划。伊朗最高精神领袖哈梅内伊回应说，美国政府应该甩某些嘴巴贱的人的耳光。今年初，与政府无关的伊朗黑客...

Apache CloudStack未经身份验证LDAP绑定漏洞

2016年10月21日 9 阅读

发布日期：2014-12-10更新日期：2014-12-15受影响系统：Apache Group CloudStack < 4.4.2Apache Group CloudStack < 4.3.2描述：CVE（CAN） ID: CVE-2014-7807Apache CloudStack是部署和管理大型虚拟机网络的开源软件。Apache CloudStack 4.3.2之前版本、4.4.2之前版本在实现上存在安全漏洞，远程攻击者在不输入密码的情...

Apache Struts CSRF绕过漏洞（CVE-2014-7809）

2016年10月21日 9 阅读

发布日期：2014-12-10更新日期：2014-12-15受影响系统：Apache Group Struts 2.0.0－2.3.20描述：CVE（CAN） ID: CVE-2014-7809Struts是用于构建Web应用的开放源码架构。Apache Struts 2.0.0－2.3.20版本生成的令牌值可被预测，这可使远程攻击者利用此漏洞绕过CSRF保护机制。<*来源：&#197;&#129;ukasz链接：http://www...

Apple Safari跨域信息泄露漏洞（CVE-2014-4465）

2016年10月21日 9 阅读

发布日期：2014-12-03更新日期：2014-12-15受影响系统：Apple Safari < 7.1.1Apple Safari < 6.2.1描述：BUGTRAQ ID: 71439CVE（CAN） ID: CVE-2014-4465iOS是由苹果公司为移动设备所开发的操作系统，支持的设备包括iPhone、iPod touch、iPad、Apple TV。Apple Safari 6.2.1之前版本, 7.1.1之前版本, 8.0.1...

MantisBT多个URI重定向漏洞（CVE-2014-6316）

2016年10月21日 9 阅读

发布日期：2014-12-03更新日期：2014-12-16受影响系统：mantisbt mantisbt < 1.2.18描述：BUGTRAQ ID: 71478CVE（CAN） ID: CVE-2014-6316MantisBT是基于Web的bug跟踪系统。MantisBT 1.2.0a3-1.2.17版本运行在web root下时，core/string_api.php没有正确归类URL，这可使远程攻击者通过login_page.php ret...

BMC Track-It！信息泄露漏洞（CVE-2014-8270）

2016年10月21日 11 阅读

发布日期：2014-12-09更新日期：2014-12-16受影响系统：BMC Track-It！ 11.3描述：BUGTRAQ ID: 71626CVE（CAN） ID: CVE-2014-8270BMC Track-It！是集成的IT帮助桌面和资产管理解决方案。BMC Track-It！ 11.3版本在密码重置时存在安全漏洞，远程攻击者通过创建与本地系统帐户名称匹配的帐户，利用此漏洞可获取提升的权限并执行任意代码。<*来源：Brandon Per...

IBM WebSphere DataPower XC10安全限制绕过漏洞

2016年10月21日 11 阅读

发布日期：2014-12-12更新日期：2014-12-16受影响系统：IBM WebSphere DataPower XC10 2.5IBM WebSphere DataPower XC10 2.1描述：CVE（CAN） ID: CVE-2014-6138XC10设备是强大的WebSphere DataPower硬件平台和先进的IBM分布式缓存技术的结合。IBM WebSphere DataPower XC10设备2.1及2.5在实现上存在安全漏洞，经过...

Linux kernel MDP驱动程序权限提升漏洞（CVE-2014-4323）

2016年10月21日 9 阅读

发布日期：2014-12-12更新日期：2014-12-16受影响系统：Linux kernel 3.x描述：CVE（CAN） ID: CVE-2014-4323Linux Kernel是Linux操作系统的内核。Linux kernel 3.x的MDP显示驱动程序中，drivers/video/msm/mdp.c的mdp_lut_hw_update函数没有正确验证ioctl调用内的某些起始及长度值，这可使攻击者通过构造的应用利用此漏洞获取提升的权限。受影...

IBM WebSphere DataPower XC10跨站请求伪造漏洞（CVE-2014-3058）

2016年10月21日 9 阅读

发布日期：2014-12-09更新日期：2014-12-17受影响系统：IBM WebSphere DataPower XC10 2.5IBM WebSphere DataPower XC10 2.1描述：CVE（CAN） ID: CVE-2014-3058XC10设备是强大的WebSphere DataPower硬件平台和先进的IBM分布式缓存技术的结合。IBM WebSphere DataPower XC10设备2.1及2.5在实现上存在跨站请求伪造漏...

Intrexx任意文件上传漏洞（CVE-2014-2025）

2016年10月21日 9 阅读

发布日期：2014-12-14更新日期：2014-12-17受影响系统：Intrexx Intrexx Professional 6.0Intrexx Intrexx Professional 5.2描述：BUGTRAQ ID: 71672CVE（CAN） ID: CVE-2014-2025Intrexx是集成的跨平台开发环境，可以创建并操作基于Web的应用、企业门户及内部系统。Intrexx Professional 6.0及5.2版本在实现上存在任意文...

Ekahau Real-Time Location System多个安全漏洞（CVE-2014-2716）

2016年10月21日 9 阅读

发布日期：2014-12-15更新日期：2014-12-17受影响系统：Ekahau Ekahau Real-Time Location System 6.0.5-FINAL描述：BUGTRAQ ID: 71674CVE（CAN） ID: CVE-2014-2716Ekahau Real-Time Location System是基于Wi-Fi的实时定位系统解决方案。Ekahau Real-Time Location System使用的信息加密机制（基于预...

FBI利用开源黑客工具追踪匿名Tor用户

2016年10月21日 9 阅读

《连线》报道，FBI是利用流行的开源黑客工具Metasploit追踪匿名的Tor用户。美国联邦执法机构在2012年展开了名为Operation Torpedo的行动，目标是访问三家暗网（基于Tor隐藏服务）儿童色情网站的用户。Operation Torpedo使用的工具是现已停止开发的Metasploit Decloaking Engine，Decloaking Engine使用了五种不同的方法破解匿名系统，其中一种方法是与终端用户建立直接连接的 Adob...

Trihedral VTScada整数溢出漏洞

2016年10月21日 9 阅读

发布日期：2014-12-09更新日期：2014-12-18受影响系统：Trihedral VTScada < 11.1.07Trihedral VTScada < 10.2.22Trihedral VTScada 6.5－9.1.20描述：CVE（CAN） ID: CVE-2014-9192VTScada是基于Windows的SCADA系统，带有Web接口选项。Trihedral Engineering VTScada （之前为VTS） 6....

ICANN遭黑客钓鱼攻击 员工帐号信息泄露

2016年10月21日 9 阅读

北京时间12月18日早间消息，互联网域名管理机构ICANN周三在一份公告中表示，身份不明的攻击者通过鱼叉式钓鱼攻击攻破了该机构的敏感系统。这些攻击者因此获得了员工电子邮件帐号，以及与ICANN有业务往来的人士的个人信息。ICANN还表示，在此次攻击中，黑客获得了保存在该机构中央区域数据系统的所有文件的管理员权限，以及该系统账号所有者的姓名、邮政地址、电 子邮件地址、传真和电话号码、用户名，以及经过加密处理的密码。域名注册服务通常使用这一数据库，协助管理目前...

Git客户端发现漏洞，影响Windows和OS X版本

2016年10月21日 9 阅读

Git项目发布了Git v2.2.1，修正了一个影响Windows和Mac OS X客户端的安全漏洞。Linux虽然不受影响，但如果Linux主机服务有Windows和OS X使用者，那么为保护用户最好还是升级到最新版本。问题涉及到大小写不敏感的文件系统，以Windows的NTFS系统为例，文件名Xxxx.txt与xxxx.txt是相同的，xxx.git和xxx.Git也是相等的。在大小写不敏感的文件系统上运行Git客户端，该漏洞可能引起如.git/con...

GitLab 不受 Git 安全漏洞影响 CVE-2014-9390

2016年10月21日 9 阅读

昨天 Git 爆出一个严重的安全漏洞。该漏洞影响所有官方的 Git 客户端版本，由于是一个客户端的漏洞，因此包括 git.oschina.net、GitLab.com, GitLab 社区版和企业版 都不会直接受影响。该漏洞存在于 Git 和 Git 兼容客户端在访问 Git 仓库的时候，当文件系统的文件名大小写不敏感以及大小写常规化的情况。攻击者可以创建一个恶意的 Git 树，导致在 clone 或者访问呢资源库时本地的 .git/config 目录被直...

Git .git/目录覆盖文件漏洞（CVE-2014-9390）

2016年10月21日 9 阅读

发布日期：2014-12-18更新日期：2014-12-21受影响系统：GIT GIT < 2.2.1不受影响系统：GIT GIT 2.2.1GIT GIT 2.1.4GIT GIT 2.0.5GIT GIT 1.9.5GIT GIT 1.8.5.6描述：CVE（CAN） ID: CVE-2014-9390Git是一款开源的分布式版本控制系统。Git在工作树根目录的.git/中的文件中保存了元信息库，在不分大小写的文件系统中（Windows或Mac ...