Xen 修复了一个有7年历史的高危提权漏洞

2016年10月21日 9 阅读

Xen项目修复了一个有7年历史的高危提权漏洞。该漏洞允许恶意的半虚拟化客户机管理员提升权限，完全控制宿主机系统。使用 Xen保护敏感资源的安全桌面系统Qubes OS的研究人员认为，它可能是至今发现的影响Xen虚拟化管理系统的最严重bug。在披露漏洞前，Xen项目提前通知了多家使用Xen的云计算服务商，其中包括 Linode和亚马逊AWS，Linode建议用户重启实例，但亚马逊表示不需要重启。今天的云计算服务很少使用Xen的半虚拟化模式，它被认为已经死亡。...

Janitza UMG跨站请求伪造漏洞（CVE-2015-3967）

2016年10月21日 9 阅读

Janitza UMG跨站请求伪造漏洞（CVE-2015-3967）发布日期：2015-10-28更新日期：2015-11-01受影响系统：Janitza UMG 605Janitza UMG 604Janitza UMG 511Janitza UMG 509Janitza UMG 508描述：CVE（CAN） ID: CVE-2015-3967Janitza UMG是电能质量测量产品。Janitza UMG 508, 509, 511, 604, 605...

Cisco ASR 5500 SAE网关拒绝服务漏洞（CVE-2015-6351）

2016年10月21日 9 阅读

Cisco ASR 5500 SAE网关拒绝服务漏洞（CVE-2015-6351）发布日期：2015-10-31更新日期：2015-11-02受影响系统：Cisco ASR 5500 19.2.0Cisco ASR 5500 19.1.0.61559描述：CVE（CAN） ID: CVE-2015-6351Cisco ASR 5000系列是一个运营商级平台，可用于部署高需求的3G网络以及向长期演进（LTE） 迁移。Cisco ASR 5500 SAE Ga...

Qolsys IQ Panel硬编码密钥漏洞（CVE-2015-6032）

2016年10月21日 9 阅读

Qolsys IQ Panel硬编码密钥漏洞（CVE-2015-6032）发布日期：2015-10-31更新日期：2015-11-02受影响系统：Qolsys Qolsys IQ Panel < 1.5.1描述：CVE（CAN） ID: CVE-2015-6032Qolsys IQ Panel是针对家庭自动化设备及功能的 Android OS 触屏控制器。Qolsys IQ Panel 1.5.1之前版本使用了硬编码的密钥，中间人攻击者利用此漏洞可创...

Cisco ACS Solution Engine XSS漏洞（CVE-2015-6349）

2016年10月21日 9 阅读

Cisco ACS Solution Engine XSS漏洞（CVE-2015-6349）发布日期：2015-10-31更新日期：2015-11-02受影响系统：Cisco Access Control Server 5.7（0.15）描述：CVE（CAN） ID: CVE-2015-6349Cisco Secure Access Control System是访问策略控制平台。Cisco Secure Access Control Server （AC...

PolarSSL堆缓冲区溢出漏洞（CVE-2015-5291）

2016年10月21日 9 阅读

PolarSSL堆缓冲区溢出漏洞（CVE-2015-5291）发布日期：2015-08-20更新日期：2015-11-03受影响系统：PolarSSL PolarSSL 1.x-1.2.17描述：CVE（CAN） ID: CVE-2015-5291PolarSSL（mbed TLS）是SSL、TLS协议及其加密算法和支持算法的双重授权实现。PolarSSL 1.x-1.2.17、ARM mbed TLS 1.3.x-1.3.14，2.x-2.1.2版本存在...

ARM mbed TLS堆缓冲区溢出漏洞（CVE-2015-8036）

2016年10月21日 9 阅读

ARM mbed TLS堆缓冲区溢出漏洞（CVE-2015-8036）发布日期：2015-08-20更新日期：2015-11-03受影响系统：ARM mbed TLS ARM mbed TLS 2.x-2.1.2ARM mbed TLS ARM mbed TLS 1.3.x-1.3.14描述：CVE（CAN） ID: CVE-2015-8036PolarSSL（mbed TLS）是SSL、TLS协议及其加密算法和支持算法的双重授权实现。ARM mbed T...

Apache Ambari 开放重定向漏洞（CVE-2015-5210）

2016年10月21日 9 阅读

Apache Ambari 开放重定向漏洞（CVE-2015-5210）发布日期：2015-08-20更新日期：2015-11-03受影响系统：Apache Group Ambari 〈 2.1.2描述：CVE（CAN） ID: CVE-2015-5210Apache Ambari是规定、管理、监控Apache Hadoop集群的工具。Apache Ambari 2.1.2之前版本，存在开放重定向安全漏洞，远程攻击者通过targetURI参数内的URL，利...

Apache Ambari服务器端请求伪造漏洞（CVE-2015-1775）

2016年10月21日 9 阅读

Apache Ambari服务器端请求伪造漏洞（CVE-2015-1775）发布日期：2015-08-20更新日期：2015-11-04受影响系统：Apache Group Ambari < 2.1.0描述：CVE（CAN） ID: CVE-2015-1775Apache Ambari是规定、管理、监控Apache Hadoop集群的工具。Apache Ambari 2.1.0之前版本，代理器端点 （api/v1/proxy）存在服务器端请求伪造漏洞...

HP ArcSight SmartConnectors中间人攻击漏洞（CVE-2015-2902）

2016年10月21日 9 阅读

HP ArcSight SmartConnectors中间人攻击漏洞（CVE-2015-2902）发布日期：2015-11-03更新日期：2015-11-05受影响系统：HP ArcSight SmartConnectors < 7.1.6描述：CVE（CAN） ID: CVE-2015-2902HP ArcSight SmartConnectors是可扩展的日志收集及分析解决方案。HP ArcSight SmartConnectors 7.1.6之...

HP ArcSight 权限提升漏洞（CVE-2015-6030）

2016年10月21日 9 阅读

HP ArcSight 权限提升漏洞（CVE-2015-6030）发布日期：2015-11-03更新日期：2015-11-05受影响系统：HP ArcSight Logger 6.0.0.7307.1描述：CVE（CAN） ID: CVE-2015-6030HP ArcSight Logger是日志管理软件工具。HP ArcSight Logger 6.0.0.7307.1, ArcSight Command Center 6.8.0.1896.0, Ar...

HP ArcSight Logger SOAP接口漏洞（CVE-2015-6029）

2016年10月21日 9 阅读

发布日期：2015-11-03更新日期：2015-11-06受影响系统：HP ArcSight Logger < 6.0 p2描述：CVE（CAN） ID: CVE-2015-6029HP ArcSight Logger是日志管理软件工具。HP ArcSight Logger 6.0 P2之前版本没有限制SOAP接口的身份验证尝试，这可使远程攻击者通过暴力攻击获取访问权。<*来源：HP *>建议：厂商补丁：HP--目前厂商已经发布了升级补...

2015年第三季度46%的DDoS攻击都来自Linux计算机

2016年10月21日 9 阅读

来自卡巴斯基实验室（Kaspersky Labs）以及Imperva今年第三季度的研究报告显示，DDoS攻击已经成为相当频繁的话题，甚至掩盖了不少更严重的攻击行为，成为对企业或者竞争对手进行敲诈和干扰的重要手段。卡巴斯基实验室2015年第三季度DDoS报告（DDoS Intelligence Report Q3 2015）中有个值得注意的事实，那就是DDoS攻击波及范围内，Linux设备正在增加。虽说大概一个月之前，我们才首次看到将Linux服务器加入到D...

Mozilla Firefox信息泄露漏洞（CVE-2015-7195）

2016年10月21日 9 阅读

Mozilla Firefox信息泄露漏洞（CVE-2015-7195）发布日期：2015-11-05更新日期：2015-11-06受影响系统：Mozilla Firefox 〈 42.0描述：CVE（CAN） ID: CVE-2015-7195Mozilla Firefox是一个开源网页浏览器，使用Gecko引擎。Mozilla Firefox 42.0之前版本，URL解析中未正确识别Location标头内主机名内转码的字符，远程攻击者可获取敏感信息。&...

Mozilla Firefox 信息泄露漏洞（CVE-2015-7190）

2016年10月21日 10 阅读

Mozilla Firefox 信息泄露漏洞（CVE-2015-7190）发布日期：2015-11-05更新日期：2015-11-06受影响系统：Mozilla Firefox 〈 42.0描述：CVE（CAN） ID: CVE-2015-7190Mozilla Firefox是一个开源网页浏览器，使用Gecko引擎。Android系统上，Mozilla Firefox 42.0之前版本的Search功能支持intent中搜索引擎URL注册，也可在特权上下...

Mozilla Firefox XSS漏洞（CVE-2015-7191）

2016年10月21日 9 阅读

Mozilla Firefox XSS漏洞（CVE-2015-7191）发布日期：2015-11-05更新日期：2015-11-06受影响系统：Mozilla Firefox 〈 42.0描述：CVE（CAN） ID: CVE-2015-7191Mozilla Firefox是一个开源网页浏览器，使用Gecko引擎。Android系统上，Mozilla Firefox 42.0之前版本未正确限制intents内的URL字符串，攻击者可执行跨站脚本攻击。&l...

Mozilla Firefox拒绝服务漏洞（CVE-2015-7192）

2016年10月21日 9 阅读

Mozilla Firefox拒绝服务漏洞（CVE-2015-7192）发布日期：2015-11-05更新日期：2015-11-06受影响系统：Mozilla Firefox 〈 42.0描述：CVE（CAN） ID: CVE-2015-7192Mozilla Firefox是一个开源网页浏览器，使用Gecko引擎。OS X平台上，Mozilla Firefox 42.0之前版本，accessibility-tools功能未正确处理TABLE元素，远程攻击...

第一种瞄准Android、Linux、Mac和Windows的远程访问木马

2016年10月21日 10 阅读

安全公司Avast的研究人员报告了第一种瞄准Android、Linux、Mac和Windows桌面和移动平台的远程访问木马OmniRAT。开发者在其网站上以 $25到$50的价格出售该木马，安全公司也报告了一个德国Android用户感染案例：攻击者发送一个短信，伪称这个短信内容是彩信，因为Stagefright漏洞不能直接发送。Stagefright漏洞不是阻止发送彩信而是利用彩信。用户点击短信中的链接后会下载一个应用mms-einst8923，安装前有访...

Mozilla Firefox地址栏欺骗漏洞（CVE-2015-7185）

2016年10月21日 9 阅读

Mozilla Firefox地址栏欺骗漏洞（CVE-2015-7185）发布日期：2015-11-05更新日期：2015-11-08受影响系统：Mozilla Firefox 〈 42.0Mozilla Firefox ESR 38.x-38.4描述：CVE（CAN） ID: CVE-2015-7185Mozilla Firefox是一个开源网页浏览器，使用Gecko引擎。Android系统上，Mozilla Firefox 42.0之前版本，未确保退出...

Cisco AsyncOS 拒绝服务漏洞（CVE-2015-6291）

2016年10月21日 9 阅读

Cisco AsyncOS 拒绝服务漏洞（CVE-2015-6291）发布日期：2015-08-20更新日期：2015-11-08受影响系统：Cisco AsyncOS < 8.5.7-043Cisco AsyncOS 9.x-9.1.1-023Cisco AsyncOS 9.6.x-9.6.0-046Cisco AsyncOS 9.5.x描述：CVE（CAN） ID: CVE-2015-6291Cisco AsyncOS操作系统是可以提升思科电子邮...