Apache Batik信息泄露漏洞（CVE-2015-0250）

2016年10月21日 10 阅读

发布日期：2015-03-21更新日期：2015-03-25受影响系统：Apache Group Batik < 1.8描述：CVE（CAN） ID: CVE-2015-0250Batik是基于Java的应用工具包，可将SVG格式用于多种目的，如察看、主控或操纵。Apache Batik 1.8之前版本，在将SVG转换为PNG及JPG类时存在XML外部实体漏洞，通过构造的SVG文件，远程攻击者可读取文件或造成拒绝服务。<*来源：Timo Sch...

389 Directory Server信息泄露漏洞（CVE-2014-8112）

2016年10月21日 9 阅读

发布日期：2015-03-10更新日期：2015-03-25受影响系统：389 Directory Server 389 Directory Server < 1.3.3.9389 Directory Server 389 Directory Server < 1.3.2.27389 Directory Server 389 Directory Server 1.3.1.x描述：BUGTRAQ ID: 73033CVE（CAN） ID: CVE...

Cisco Virtual TelePresence Server串口终端权限提升漏洞（CVE-2015-0660）

2016年10月21日 9 阅读

发布日期：2015-03-12更新日期：2015-03-25受影响系统：Cisco TelePresence Server描述：BUGTRAQ ID: 73090CVE（CAN） ID: CVE-2015-0660Cisco TelePresence是与在全球各地的同事、合作伙伴和客户及时展开协作的思科网真解决方案。Cisco Virtual TelePresence Server Software没有正确限制使用串口，通过vSphere控制器管理权限，本...

Adobe Flash Player跨域安全限制绕过漏洞（CVE-2015-0337）

2016年10月21日 9 阅读

发布日期：2015-03-12更新日期：2015-03-25受影响系统：Adobe Flash Player < 17.0.0.134Adobe Flash Player < 13.0.0.277Adobe Flash Player < 11.2.202.451描述：BUGTRAQ ID: 73091CVE（CAN） ID: CVE-2015-0337Adobe Flash Player是一个集成的多媒体播放器。Adobe Flash P...

Adobe Flash Player内存破坏漏洞（CVE-2015-0333）

2016年10月21日 9 阅读

发布日期：2015-03-12更新日期：2015-03-25受影响系统：Adobe Flash Player < 17.0.0.134Adobe Flash Player < 13.0.0.277Adobe Flash Player < 11.2.202.451描述：BUGTRAQ ID: 73087CVE（CAN） ID: CVE-2015-0333Adobe Flash Player是一个集成的多媒体播放器。Adobe Flash P...

EMC Secure Remote Services Virtual Edition SQL注入漏洞（CVE-2015-0524）

2016年10月21日 11 阅读

发布日期：2015-03-11更新日期：2015-03-25受影响系统：EMC Secure Remote Services Virtual Edition 3.03EMC Secure Remote Services Virtual Edition 3.02描述：BUGTRAQ ID: 73023CVE（CAN） ID: CVE-2015-0524EMC Secure Remote Services Virtual Edition是在EMC客户服务和终端...

WordPress Pixabay Images插件任意文件上传漏洞（CVE-2015-1375）

2016年10月21日 9 阅读

发布日期：2015-03-13更新日期：2015-03-25受影响系统：WordPress Pixarbay Images 2.3描述：BUGTRAQ ID: 73118CVE（CAN） ID: CVE-2015-1375Pixabay Images是一个WordPress插件，可从Pixabay上搜索CC0公共域图片，插入到博客内。Pixabay Images 2.4之前版本，pixabay-images.php没有正确限制访问上传功能，远程攻击者利用此...

WordPress Daily Edition Theme完整路径信息泄露漏洞

2016年10月21日 9 阅读

发布日期：2015-03-10更新日期：2015-03-25受影响系统：WordPress Daily Edition 1.6.7WordPress Daily Edition描述：BUGTRAQ ID: 73059WordPress是一种使用PHP语言和MySQL数据库开发的Blog引擎。WordPress Daily Edition主题1.6.7版本在实现上存在信息泄露漏洞，攻击者可利用此漏洞获取敏感信息。<*来源：Wang Jing*>建...

WebGate eDVR Manager ActiveX控件多个缓冲区溢出漏洞（CVE-2015-2098）

2016年10月21日 9 阅读

发布日期：2015-03-27更新日期：2015-03-26受影响系统：Webgate eDVR Manager描述：BUGTRAQ ID: 72838CVE（CAN） ID: CVE-2015-2098WebGate eDVR Manager是eDVR设备管理器。WebGate eDVR Manager存在多个缓冲区溢出漏洞，攻击者可利用这些漏洞在受影响应用上下文中执行任意代码。<*来源：rgod （rgod@autistici.org） *>...

多个产品SMM本地代码执行漏洞（CVE-2015-0949）

2016年10月21日 11 阅读

发布日期：2015-03-20更新日期：2015-03-26受影响系统：Dell Dell HP HP描述：BUGTRAQ ID: 73261CVE（CAN） ID: CVE-2015-0949System Management Mode （SMM）是x86处理器上最高权限执行模式。多个BIOS实现中允许SMM功能调用SMRAM之外的内存位置，能够访问物理内存的攻击者先破坏SMM调用的函数指针或功能，然后在SMI命令端口0xb2写操作，触发SMM，在SMM...

如何让Ubuntu服务器远离幽灵漏洞（GHOST）影响

2016年10月21日 9 阅读

2015年1月27日，GNU C库（glibc）的一个漏洞也称幽灵漏洞（GHOST）被公诸于众。总的来说，这个漏洞允许远程攻击者利用glibc中的GetHOST函数的缓冲区溢出漏洞来获得系统的完全控制。点击这里获得更多细节。幽灵漏洞可在版本在glibc-2.18之前的Linux系统上被利用。也就是说没有打过补丁的版本2.2到2.17都是有风险的。检查系统漏洞你可以使用下面的命令来检查glib的版本ldd --version输出ldd （Ubuntu GLI...

安全人员发现 SELinux 防御可被轻易绕过

2016年10月21日 9 阅读

SuSE的安全研究人员Sebastian Krahmer成功的绕过了SELinux的白名单规则，Sebastian分析了漏洞利用的方法并且公开了PoC。由于在targeted规则的情况下，社区的维护人员都假设程序是安全的，所以会给一些的程序root权限运行，可能这正是NSA所希望看到的;-）著名的MAC（强制访问控制）开源实现SELinux是由NSA（美国国家安全局）于1990年代末发起的项目，于2000年以GPL自由软件许可证开放源代码，2003年合并到...

Cisco IOS XR Software DHCPv4 Server拒绝服务漏洞（CVE-2015-0672）

2016年10月21日 9 阅读

发布日期：2015-03-26更新日期：2015-03-28受影响系统：Cisco IOS XR 5.2.2描述：CVE（CAN） ID: CVE-2015-0672Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。ASR 9000设备上，Cisco IOS XR 5.2.2版本中DHCPv4服务器存在安全漏洞，远程攻击者通过一系列构造的DHCP数据包，利用此漏洞可造成服务器停用，导致拒绝服务。<*来源：Cisco*>...

Websense TRITON AP-WEB信息泄露漏洞（CVE-2015-2748）

2016年10月21日 9 阅读

发布日期：2015-03-26更新日期：2015-03-28受影响系统：Websense TRITON AP-WEB 〈 8.0.0描述：CVE（CAN） ID: CVE-2015-2748Websense TRITON AP-WEB是实时Web安全解决方案。Websense TRITON AP-WEB 8.0.0之前版本，没有正确限制explorer_wse/中文件的访问权限，通过直接请求Web安全事件报告或websense.ini文件，远程攻击者利用此...

国外2014年安全报告 Chrome成为漏洞最多的程序

2016年10月21日 9 阅读

日前，国外安全研究公司secunia公布了2014程序安全漏洞研究报告。 根据报告显示，在3870个不同程序中共发现15435个漏洞。相比较2013年，记录的程序增加了18%，而漏洞增加了22%。其中，谷歌旗下的 Chrome浏览器以504个漏洞击败拥有286枚漏洞的IE和发现了350个漏洞的Gentoo Linux以及甲骨文SOLARIS的483个漏洞，一举占据排行榜头把交椅。其次，IBM的软件和管理系统占据了前20名中的8个席位，成为上榜最多的 公司。...

漏洞事件让OpenDaylight更加重视安全

2016年10月21日 9 阅读

开源项目的初衷总是好的，并且有着美好的未来预期，但安全在其中永远不是最受重视的...Linux基金会于2013年4月份为创建一个开源的软件定义网络（SDN）平台而启动了OpenDaylight协作项目。随后，该项目获得众多业界厂商的关注和支持，如今正在高速发展壮大。然而去年OpenDaylight对于一个安全漏洞的“不重视”，却引起了不少人的担忧。OpenDaylight时间回到2014年8月，研究者发现了OpenDaylight的...

Cisco IOS XE Software拒绝服务漏洞（CVE-2015-0641）

2016年10月21日 11 阅读

发布日期：2015-03-26更新日期：2015-03-30受影响系统：Cisco IOS XE 3.xCisco IOS XE 2.x描述：CVE（CAN） ID: CVE-2015-0641Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco IOS XE在实现中存在拒绝服务漏洞，远程攻击者通过畸形的IPv6数据包，利用此漏洞可造成设备重载，导致拒绝服务。<*来源：Cisco链接：http://tools.cis...

WebGate WinRDS 2.0.8 StopSiteAllChannel 栈溢出漏洞

2016年10月21日 9 阅读

发布日期：2015-03-27更新日期：2015-03-30受影响系统：Webgate WinRDS 2.0.8描述：CVE（CAN） ID: CVE-2015-2094WebGate WinRDS可通过网络传输DVR视频流。WebGate WinRDS中，WESPPlayback.WESPPlaybackCtrl.1控件存在栈缓冲区溢出漏洞，通过PrintSiteImage、PlaySiteAllChannel、StopSiteAllChannel、Sa...

WebGate Control Center 4.8.7 GetThumbnail栈溢出漏洞

2016年10月21日 9 阅读

发布日期：2015-03-27更新日期：2015-03-30受影响系统：Webgate WebGate Control Center 4.8.7Webgate WebGate Control Center描述：CVE（CAN） ID: CVE-2015-2099WebGate Control Center是网络视频监控终端的中心监控程序。WESPPlayback.WESPPlaybackCtrl.1控制存在安全漏洞，GetThumbnail方法复制任意数据...

Cisco NX-OS Software DHCP选项命令注入漏洞（CVE-2015-0658）

2016年10月21日 9 阅读

发布日期：2015-03-27更新日期：2015-03-30受影响系统：Cisco NX-OS描述：CVE（CAN） ID: CVE-2015-0658Cisco NX-OS是一个数据中心级的操作系统。在Cisco NX-OS的PowerOn Auto Provisioning （POAP）功能中，DHCP的实现上没有正确限制初始化进程，存在安全漏洞，远程攻击者通过在本地网络上发送构造的响应数据包，利用此漏洞可以root权限执行任意命令。<*来源：C...