GitLab 不受 Redcarpet XSS 漏洞影响

2016年10月21日 9 阅读

两天前，Daniel LeCheminant 发表了一篇博客，描述了 Redcarpet Markdown 库存在着潜在的 XSS 跨站点脚本攻击漏洞。Gitlab 官方发布消息称不受此漏洞影响。该漏洞影响了使用 Redcarpet Markdown 库直接将输出的 HTML 发送到用户浏览器的场景。Gitlab 通过一个特殊的步骤对 HTML 进行处理，因此不会存在该问题。在 Ubuntu 12.04 上安装 GitLab http://www.linu...

Cisco ASA FirePOWER Services及Cisco ASA CX Services拒绝服务漏洞（CVE-2015-0678）

2016年10月21日 9 阅读

发布日期：2015-04-08更新日期：2015-04-10受影响系统：Cisco ASA FirePOWER Services Cisco ASA Context-Aware （CX） Services描述：CVE（CAN） ID: CVE-2015-0678Cisco ASA FirePOWER Services及Cisco ASA CX Services为Cisco ASA 5500-X Series Next-Generation Firewall...

Novell ZenWorks Configuration Management远程代码执行漏洞（CVE-2015-0779）

2016年10月21日 8 阅读

发布日期：2015-04-07更新日期：2015-04-10受影响系统：Novell ZENworks Configuration Management <= 11.3.1描述：CVE（CAN） ID: CVE-2015-0779Novell ZENworks Configuration Management是ZENworks系统网关工具中的配置管理解决方案。ZENworks Configuration Management 11.3.1及更早版本存...

Cisco ASA故障转移命令注入漏洞（CVE-2015-0675）

2016年10月21日 9 阅读

发布日期：2015-04-08更新日期：2015-04-10受影响系统：Cisco ASA 5500描述：CVE（CAN） ID: CVE-2015-0675Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台，可提供防火墙、IPS、anti-X和VPN服务。Cisco ASA Software的failover ipsec功能存在安全漏洞，攻者通过failover接口向所有failover装置发送配置命令，导致控制活动的、...

Cisco ASA DNS内存耗尽漏洞（CVE-2015-0676）

2016年10月21日 9 阅读

Cisco ASA DNS内存耗尽漏洞（CVE-2015-0676）发布日期：2015-04-08更新日期：2015-04-10受影响系统：Cisco ASA 5500描述：CVE（CAN） ID: CVE-2015-0676Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台，可提供防火墙、IPS、anti-X和VPN服务。Cisco ASA Software的DNS代码存在安全漏洞，可使未经身份验证的远程攻击者利用此漏洞...

Cisco ASA VPN XML Parser拒绝服务漏洞（CVE-2015-0677）

2016年10月21日 11 阅读

Cisco ASA VPN XML Parser拒绝服务漏洞（CVE-2015-0677）发布日期：2015-04-08更新日期：2015-04-10受影响系统：Cisco ASA 5500描述：CVE（CAN） ID: CVE-2015-0677Cisco ASA 5500系列自适应安全设备是用于提供安全和VPN服务的模块化平台，可提供防火墙、IPS、anti-X和VPN服务。Cisco ASA Software的XML解析器存在安全漏洞，可使未经身份验...

OS X隐藏了一个root提权后门API

2016年10月21日 8 阅读

OS X的管理框架隐藏了一个后门API，允许将任何用户帐户的权限提升到root。这个漏洞存在了许多年，安全研究人员在2014年10月发现了这个漏洞，苹果在刚刚释出的OS X 10.10.3 中修正了该漏洞。但OS X的旧版本没有修正，使用旧版本的用户最好升级到OS X 10.10。苹果决定不修正旧版的理由是它需要对系统进行大量的变动，太麻烦了所以就不弄了。OS X 的详细介绍：请点这里...

SIMATICWinCC设备信息泄露漏洞 （CVE-2015-1601）

2016年10月21日 9 阅读

SIMATIC WinCC设备信息泄露漏洞 （CVE-2015-1601）发布日期：2015-04-08更新日期：2015-04-11受影响系统：Siemens SIMATIC WinCC （TIA Portal） < 13 SP1 Upd2描述：CVE（CAN） ID: CVE-2015-1601Siemens SIMATIC STEP 7 TIA Portal是SIMATIC产品的工程软件。Siemens SIMATIC STEP 7 （TIA ...

SIMATIC TIA Portal拒绝服务漏洞 （CVE-2015-2822）

2016年10月21日 9 阅读

SIMATIC TIA Portal拒绝服务漏洞 （CVE-2015-2822）发布日期：2015-04-08更新日期：2015-04-10受影响系统：Siemens SIMATIC WinCC （TIA Portal） < 13 SP1 Upd2描述：CVE（CAN） ID: CVE-2015-2822Siemens SIMATIC WinCC 是监测控制和数据采集SCADA及人机界面HMI系统。SIMATIC WinCC Comfort Pane...

McAfee Advanced Threat Defense （ATD）安全限制绕过漏洞（CVE-2015-3028）

2016年10月21日 9 阅读

发布日期：2015-04-10更新日期：2015-04-13受影响系统：McAfee Advanced Threat Defense < 3.4.4.63描述：CVE（CAN） ID: CVE-2015-3028McAfee Advanced Threat Defense是一款功能强大的防恶意软件解决方案。McAfee Advanced Threat Defense （MATD） 3.4.4.63之前版本，经过身份验证的远程用户通过构造的参数，利用此...

McAfee Advanced Threat Defense （ATD）信息泄露漏洞（CVE-2015-3029）

2016年10月21日 9 阅读

发布日期：2015-04-10更新日期：2015-04-13受影响系统：McAfee Advanced Threat Defense < 3.4.4.63描述：CVE（CAN） ID: CVE-2015-3029McAfee Advanced Threat Defense是一款功能强大的防恶意软件解决方案。McAfee Advanced Threat Defense （MATD） 3.4.4.63之前版本，Web接口访问限制不正确，经过身份验证的远程...

Cisco Aggregate Services Router 9000 ASR9K安全限制绕过漏洞（CVE-2015-0694）

2016年10月21日 10 阅读

Cisco Aggregate Services Router 9000 ASR9K安全限制绕过漏洞（CVE-2015-0694）发布日期：2015-04-10更新日期：2015-04-13受影响系统：Cisco ASR 9000描述：CVE（CAN） ID: CVE-2015-0694Cisco ASR 9000系列是使用Cisco IOS XR Software模块操作系统来提供运营商级别可靠性的集成服务路由器解决方案。Cisco Aggregatio...

BitTorrent Sync btsync:协议命令注入远程代码执行漏洞（CVE-2015-2846）

2016年10月21日 9 阅读

BitTorrent Sync btsync:协议命令注入远程代码执行漏洞（CVE-2015-2846）发布日期：2015-04-10更新日期：2015-04-14受影响系统：BitTorrent BitTorrent描述：CVE（CAN） ID: CVE-2015-2846BitTorent是一种内容分发协议，采用了高效的软件分发系统和点对点技术。BitTorrent Sync允许远程攻击者通过构造的btsync:链接，利用此漏洞执行任意命令。此漏洞源于...

HP多个权限提升漏洞（CVE-2015-2112）

2016年10月21日 9 阅读

HP多个权限提升漏洞（CVE-2015-2112）发布日期：2015-04-13更新日期：2015-04-14受影响系统：HP Thin Client t820 Flexible Thin ClientHP Thin Client t620 Flexible Thin ClientHP Thin Client t610 Flexible Thin ClientHP Thin Client t5740e Thin ClientHP Thin Client t...

Debian dpkg dpkg-source命令签名验证绕过漏洞（CVE-2015-0840）

2016年10月21日 10 阅读

Debian dpkg dpkg-source命令签名验证绕过漏洞（CVE-2015-0840）发布日期：2015-04-13更新日期：2015-04-14受影响系统：Debian dpkg < 1.17.25Debian dpkg < 1.16.16描述：CVE（CAN） ID: CVE-2015-0840dpkg是为“Debian” 专门开发的套件管理系统，方便软件的安装、更新及移除。Debian dpkg 1.16...

Chrony内存破坏漏洞（CVE-2015-1822）

2016年10月21日 9 阅读

Chrony内存破坏漏洞（CVE-2015-1822）发布日期：2015-04-13更新日期：2015-04-14受影响系统：Chrony Chrony描述：CVE（CAN） ID: CVE-2015-1822Chrony是用于计算机同步时间的工具，实现了NTP协议，并且可以同时作为客户端和服务器端程序，特别适合无网络连接环境中保持计算机时间准确性。Chrony在cmdmon回复槽中存在未初始化指针，经过身份验证的攻击者可以用其他命令分配或解除分配内存，强...

HP多个远程代码执行漏洞（CVE-2015-2113）

2016年10月21日 9 阅读

HP多个远程代码执行漏洞（CVE-2015-2113）发布日期：2015-04-13更新日期：2015-04-14受影响系统：HP Thin Client t820 Flexible Thin ClientHP Thin Client t620 Flexible Thin ClientHP Thin Client t610 Flexible Thin ClientHP Thin Client t5740e Thin ClientHP Thin Client...

多年漏洞被发现 可影响所有Windows版本用户

2016年10月21日 9 阅读

Cylance 公司的信息安全专家与卡内基梅隆大学的 CERT 研究团队合作，声称发现了一个长期影响所有 Windows 版本的僵尸漏洞，在最新的 Windows 10 技术预览版也有包含。该僵尸漏洞根据可追溯至 1997 年，由 Aaron Spangler 发现的漏洞衍生而来，这项被称作“Redirect to SMB”（重定向到 SMB 协议）的安全隐患将使得攻击者有机会劫持用户的敏感信息，而整个攻击过程只需用户点击一个链接即...

Microsoft Office内存破坏漏洞（CVE-2015-1641）（MS15-033）

2016年10月21日 9 阅读

Microsoft Office内存破坏漏洞（CVE-2015-1641）（MS15-033）发布日期：2014-04-15更新日期：2015-04-15受影响系统：Microsoft Office Office 2013 RTMicrosoft Office Office 2013Microsoft Office Office 2010Microsoft Office Office 2007描述：CVE（CAN） ID: CVE-2015-1641Mic...

Microsoft Task Scheduler权限提升漏洞（CVE-2015-0098）（MS15-037）

2016年10月21日 9 阅读

Microsoft Task Scheduler权限提升漏洞（CVE-2015-0098）（MS15-037）发布日期：2015-04-15更新日期：2015-04-15受影响系统：Microsoft Windows Server 2008 R2 SP1Microsoft Windows 7描述：CVE（CAN） ID: CVE-2015-0098Windows是一款由美国微软公司开发的窗口化操作系统。由于某些系统中存在无效任务，Task Schedule...