Microsoft Windows 是美国微软公司发布的一系列操作系统。Uniscribe 是其中的一个能够使 Windows操作系统正确演示 Unicode文字的组件。 Graphics Component是其中的视窗图形组件。本周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
CNVD 收录的相关漏洞包括:Microsoft Windows Graphics Component 远程代码执行漏洞、Microsoft Windows Uniscribe远程代码执行漏洞(CNVD-2017-03290、CNVD-2017-03291、CNVD-2017-03292、CNVD-2017-03293、CNVD-2017-03294、CNVD-2017-03295) 、Microsoft Windows Uniscribe远程代码执行漏洞。上述漏洞的综合评级为“高危” 。目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-03278
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03290
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03291
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03292
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03293
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03294
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03295
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03296
Google产品安全漏洞Android是美国谷歌(Google)公司和开放手持设备联盟(简称 OHA)共同开发的一套以 Linux 为基础的开源操作系统。Mediaserver是其中的一个多媒体服务组件。Qualcomm networking Driver 是其中的一个网络连接库驱动程序。Qualcomm camera Driver是使用在其中的一个美国高通(Qualcomm)公司开发的摄像头驱动程序。上述产品被披露存在远程代码执行和权限提升漏洞, 攻击者可利用漏洞提升权限和执行任意代码。
CNVD 收录的相关漏洞包括:Android Mediaserver组件远程代码执行漏洞(CNVD-2017-02815、CNVD-2017-02817) 、Android Mediaserver组件远程代码执行漏洞、Android Qualcomm networking 驱动程序权限提升漏洞(CNVD-2017-02822) 、Android Qualcomm networking 驱动程序权限提升漏洞、Android Qualcomm camera驱动程序权限提升漏洞(CNVD-2017-02812、CNVD-2017-02814) 、Android Qualcomm camera 驱动程序权限提升漏洞,上述漏洞的综合评级为“高危” 。目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-02815
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02817
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02813
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02822
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02821
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02812
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02514
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02511
Joomla!是美国 Open Source Matters 团队开发的一套开源的内容管理系统(CMS)。本月,该产品被披露存在 SQL 注入漏洞,攻击者可利用漏洞访问或修改数据库数据。
CNVD 收录的相关漏洞包括:Joomla! Spinner 360组件 SQL 漏洞、Joomla! AJAX
Search for K2组件 SQL 注入漏洞、Joomla! Community Polls组件 SQL 注入漏洞、Joomla! Community Surveys 组件 SQL 注入漏洞、Joomla! Community Quiz 组件 SQL 注入漏洞、Joomla! Intranet Attendance Track 组件 SQL 注入漏洞、Joomla! JO Facebook Gallery 组件 SQL 注入漏洞、 Joomla! Guesser SQL 注入漏洞。 上述漏洞的综合评级为 “高危” 。目前,厂商已经发布了除“Joomla! Spinner 360 组件 SQL 漏洞、Joomla! Guesser SQL 注入漏洞”以外漏洞的修补程序。请用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-03007
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03012
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03011
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03010
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03009
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03006
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03005
http://www.cnvd.org.cn/flaw/show/CNVD-2017-03002
GitLab于昨日发布了 8.17.4、8.16.8和 8.15.8版本(社区版和企业版) ,修复多个高危漏洞,包含一个针对关键信息泄露漏洞的更新补丁。漏洞可导致拥有向其他用户发送issue或 merge请求权限的攻击者获取到该用户的 private token, email token, email 地址和加密的 OTP secret。想要利用漏洞需要有 Reporter级别的权限。通过 Gitlab API 和这些敏感信息, 就能以该用户权限进行操作, 如果目标用户是管理员则可能产生更大危害。因此强烈建议受影响用户尽快升级。
参考链接:http://www.freebuf.com/vuls/129906.html
思科发现了存在于 IOS/IOS XE 之中的漏洞,影响范围超过 300款不同型号的交换机,从 2350-48TD-S 交换机到 SM-X Layer 2/3 EtherSwitch服务模块。该漏洞存在于思科 IOS 与 IOS XE 软件的 CMP 协议(思科集群管理协议)处理代码中,可被未经授权的攻击者利用,提升权限并远程执行代码,另外还能导致设备重新加载。攻击者因此也就能够获得设备的完整控制权了。 思科专家暂时提供了缓解措施, 就是禁用 Telnet连接,并表示 SSH 依然是远程访问设备的最佳选择。
参考链接:http://www.freebuf.com/vuls/129906.html
/
网络安全