多个Panda安全产品身份验证绕过漏洞

2016年10月21日 9 阅读

多个Panda安全产品身份验证绕过漏洞发布日期：2015-04-15更新日期：2015-04-22受影响系统：Panda Security描述：BUGTRAQ ID: 74156Panda Security是计算机安全厂商，产品主要是防病毒软件、防火墙、反垃圾邮件等安全产品。多个Panda产品在实现上存在身份验证绕过漏洞，攻击者利用此漏洞可绕过身份验证机制，执行未授权操作。<*来源：Matthias Deeg *>建议：厂商补丁：Panda--...

多个D-Link产品HNAP命令远程权限提升漏洞

2016年10月21日 9 阅读

多个D-Link产品HNAP命令远程权限提升漏洞发布日期：2015-04-10更新日期：2015-04-22受影响系统：D-Link Wireless Router描述：BUGTRAQ ID: 74051D-link专注于无线网络和以太网路硬件产品的设计开发。多个D-Link产品在HNAP命令的实现上存在远程权限提升漏洞，经过身份验证的远程攻击者利用此漏洞可获取提升的权限。<*来源：Zhang Wei （Qihoo360 ADLAB） *>建议...

Cisco Unified MeetingPlace Server跨站请求伪造漏洞

2016年10月21日 9 阅读

Cisco Unified MeetingPlace Server跨站请求伪造漏洞发布日期：2015-04-15更新日期：2015-04-22受影响系统：Cisco Unified MeetingPlace 8.6（1.9）描述：CVE（CAN） ID: CVE-2015-0704Cisco Unified MeetingPlace会议解决方案允许组织承办集成语音、视频和web会议。Cisco Unified MeetingPlace 8.6（1.9）版本...

Cisco Unified MeetingPlace Web服务目录跨站请求伪造漏洞

2016年10月21日 9 阅读

Cisco Unified MeetingPlace Web服务目录跨站请求伪造漏洞发布日期：2015-04-15更新日期：2015-04-22受影响系统：Cisco Unified MeetingPlace 8.6（1.9）描述：CVE（CAN） ID: CVE-2015-0705Cisco Unified MeetingPlace会议解决方案允许组织承办集成语音、视频和web会议。Cisco Unified MeetingPlace 8.6（1.9）版...

Oracle Java SE远程安全漏洞（CVE-2015-0470）

2016年10月21日 9 阅读

Oracle Java SE远程安全漏洞（CVE-2015-0470）发布日期：2015-04-14更新日期：2015-04-20受影响系统：Oracle Java SE 8u40描述：BUGTRAQ ID: 74149CVE（CAN） ID: CVE-2015-0470Java SE 是基于JDK和JRE的Java平台标准版的简称，用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle Java SE在Hotspot子组件的实...

Deis 1.5.2 发布，开源 PaaS 系统

2016年10月21日 9 阅读

Deis 1.5.2 发布下载，此版本主要修复了以下 Bug：a4bf040 router: include deis.conf if no match with an SSL cert1df8eea controller: allow "*" wildcard in cert REST URLs7f6099c controller: return the correct domain from get_object02b78a2 router: writ...

wpa_supplicant P2P SSID处理漏洞（CVE-2015-1863）

2016年10月21日 9 阅读

wpa_supplicant P2P SSID处理漏洞（CVE-2015-1863）发布日期：2015-04-22更新日期：2015-04-23受影响系统：Android Android 5.xAndroid Android 4.xAndroid wpa_supplicant 1.0-2.4描述：CVE（CAN） ID: CVE-2015-1863wpa_supplicant是安卓系统的WiFi功能组件，支持无线连接认证。wpa_supplicant v1...

Wi-Fi 漏洞让 Android 设备向攻击者敞开大门

2016年10月21日 9 阅读

阿里巴巴安全团队向Google安全团队报告发现了一个Wi-Fi组件wpa_supplicant的漏洞，主要影响Android， 但Windows和Linux设备也可能受影响。该漏洞有几分类似去年的Heartbleed漏洞，wpa_supplicant在使用管理帧解析 SSID信息时，没有正确验证传输数据的长度，因此存在缓冲区溢出漏洞，可能向攻击者暴露内存内容或允许攻击者向内存写入新数据。攻击者可利用该漏洞让 wpa_supplicant和Wi-Fi服务崩溃...

novnc会话劫持漏洞（CVE-2013-7436）

2016年10月21日 9 阅读

novnc会话劫持漏洞（CVE-2013-7436）发布日期：2015-04-22更新日期：2015-04-24受影响系统：github noVNC < 0.5描述：CVE（CAN） ID: CVE-2013-7436noVNC是用HTML5 Canvas及WebSockets实现的基于浏览器的VNC客户端。noVNC 0.5之前版本没有对https会话的cookie设置安全的标识，这可使远程攻击者截获http会话传输，获取cookie。<*来...

WordPress Crayon Syntax Highlighter插件任意文件泄露漏洞

2016年10月21日 9 阅读

WordPress Crayon Syntax Highlighter插件任意文件泄露漏洞发布日期：2015-04-22更新日期：2015-04-24受影响系统：WordPress Crayon Syntax Highlighter <= 2.6.10描述：Syntax Highlighter是用PHP及jQuery构建的语法高亮显示器。WordPress Crayon Syntax Highlighter插件存在信息泄露漏洞，远程攻击者利用此漏洞可...

Stuxnet的低级bug导致它意外曝光

2016年10月21日 9 阅读

在RSA 2015会议上，安全研究人员称Stuxnet蠕虫的一个低级的bug导致它意外曝光。Stuxnet蠕虫设计破坏伊朗核工厂铀浓缩离心机，其开发者被认为是美国和以色列。Stuxnet是设计尽可能长的潜伏在伊朗的计算机控制系统中，但一个编程错误使蠕虫扩散到了 Windows 95和Windows 98等不支持的操作系统上，导致电脑蓝屏死机，从而引起了怀疑，使它曝光于世界。研究人员称，Stuxnet的开发者错误的将and和or字符交换，导致蠕虫安装在任何W...

Dnsmasq “setup_reply（）”拒绝服务漏洞

2016年10月21日 9 阅读

Dnsmasq "setup_reply（）"拒绝服务漏洞发布日期：2015-04-24更新日期：2015-04-27受影响系统：Dnsmasq Dnsmasq描述：CVE（CAN） ID: CVE-2015-3294Dnsmasq是轻型DNS转发器和DHCP服务器。Dnsmasq在实现上存在拒绝服务漏洞，通过构造的DNS请求包，远程用户利用此漏洞可读取进程内存内容，造成目标服务崩溃。<*来源：Nick Sampanis *>建议：厂商补丁：D...

FFmpeg ff_h264_free_tables函数释放后重利用漏洞

2016年10月21日 9 阅读

FFmpeg ff_h264_free_tables函数释放后重利用漏洞发布日期：2015-04-24更新日期：2015-04-27受影响系统：FFmpeg FFmpeg < 2.3.6描述：CVE（CAN） ID: CVE-2015-3417FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件。FFmpeg 2.3.6之前版本，libavcodec/h264.c内的函数ff_h264_free_tables存在释放后重利用...

SQLite sqlite3VXPrintf函数拒绝服务漏洞

2016年10月21日 9 阅读

SQLite sqlite3VXPrintf函数拒绝服务漏洞发布日期：2015-04-24更新日期：2015-04-27受影响系统：SQLite SQLite < 3.8.9描述：CVE（CAN） ID: CVE-2015-3416SQLite是嵌入式数据库。SQLite 3.8.9之前版本，printf.c内的函数sqlite3VXPrintf在浮点转换中没有正确处理精度值及宽度值，在SELECT语句内构造的printf函数调用中使用较大的整数，上...

SQLite sqlite3VdbeExec函数拒绝服务漏洞

2016年10月21日 9 阅读

SQLite sqlite3VdbeExec函数拒绝服务漏洞发布日期：2015-04-24更新日期：2015-04-27受影响系统：SQLite SQLite < 3.8.9描述：CVE（CAN） ID: CVE-2015-3415SQLite是嵌入式数据库。SQLite 3.8.9之前版本，vdbe.c内的函数sqlite3VdbeExec没有正确实现比较运算符，通过构造的CHECK子句，上下文独立的攻击者利用此漏洞可造成拒绝服务。<*来源：...

SQLite 拒绝服务漏洞（CVE-2015-3414）

2016年10月21日 9 阅读

SQLite 拒绝服务漏洞（CVE-2015-3414）发布日期：2015-04-24更新日期：2015-04-27受影响系统：SQLite SQLite < 3.8.9描述：CVE（CAN） ID: CVE-2015-3414SQLite是嵌入式数据库。SQLite 3.8.9之前版本，没有正确实现排序规则顺序名称的取消引用，上下文独立的攻击者通过构造的collate子句，利用此漏洞可造成拒绝服务（未初始化内存访问及应用崩溃）。<*来源：Mi...

Samsung Galaxy S5 指纹数据泄露漏洞

2016年10月21日 9 阅读

Samsung Galaxy S5 指纹数据泄露漏洞发布日期：2014-04-28更新日期：2015-04-28受影响系统：Android Android < 5.0Samsung Galaxy S5描述：Samsung Galaxy S5是三星4G智能手机产品。Samsung Galaxy S5通过用户指纹信息进行身份验证的实现上存在安全漏洞，任何能够以root身份运行程序的黑客都可以从移动设备中随时直接读取指纹传感器，窃取指纹信息。<*来源...

WordPress发布补丁修正刚曝光的安全漏洞

2016年10月21日 9 阅读

WordPress内容管理系统被曝光了两个跨站脚本漏洞，允许攻击者在WordPress评论区域嵌入恶意代码去窃取和修改管理员密码，创建新管理员账号，在服务器上执行任意代码。漏洞影响WordPress 4.2、4.1.2、4.1.1和3.9.3版。WordPress已紧急释出了4.2.1修正曝光的安全漏洞，它督促用户立即更新软件。安全研究人员已释出了概念验证攻击代码和攻击演示视频。...

HP TippingPoint SMS及vSMS JBoss RMI远程代码执行漏洞

2016年10月21日 9 阅读

HP TippingPoint SMS及vSMS JBoss RMI远程代码执行漏洞发布日期：2015-04-28更新日期：2015-04-28受影响系统：HP TippingPoint SMS < 4.2 patch 1HP TippingPoint SMS < 4.1 patch 3描述：CVE（CAN） ID: CVE-2015-2117HP TippingPoint SMS是TippingPoint产品的网络安全管理系统。HP SMS、...

HP Storage Data Protector远程代码执行漏洞

2016年10月21日 9 阅读

HP Storage Data Protector远程代码执行漏洞发布日期：2015-04-28更新日期：2015-04-28受影响系统：HP Storage Data Protector < 7.03 build 107描述：CVE（CAN） ID: CVE-2015-2116HP Data Protector软件是企业环境中单个服务器自动备份和恢复的软件，支持磁盘存储或磁带存储目标。HP Storage Data Protector 7.03 b...