漏洞phpmyadmin下载

本周漏洞基本情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞298个,其中高危漏洞99个、中危漏洞186个、低危漏洞13个.
上述漏洞中,可利用来实施远程攻击的漏洞有251个.
本周收录的漏洞中,已有258个漏洞由厂商提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击.
其中互联网上出现"LEADTOOLSActiveXcontrolDLL加载任意代码执行漏洞"等零日代码攻击漏洞,请使用相关产品的用户注意加强防范.
成员单位报送漏洞统计本周,共5家成员单位、合作伙伴及个人报送了本周收录的全部298个漏洞.
报送情况如表1所示.
其中,奇虎(补天平台)、安天实验室、绿盟科技、恒安嘉新等单位报送数量较多.
补天平台、乌云、漏洞盒子、High-TechBridgeSecurityResearchLab及白帽子向CNVD提交了403个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量奇虎(补天平台)126126安天实验室710绿盟科技370恒安嘉新400H3C40国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年02月15日-2016年02月21日2016年第8期High-TechBridgeSecurityResearchLab55乌云205205漏洞盒子3131CNCERT安徽分中心55CNCERT甘肃分中心44个人2727报送总计555403录入总计298(去重)403表1成员单位上报漏洞统计表CNVD整理和发布的漏洞涉及Microsoft、Adobe、Google等多家厂商的产品,部分漏洞数量按厂商统计如表2所示.
序号厂商(产品)漏洞数量所占比例1Microsoft3211%2Adobe2910%3Google217%4IBM207%5Cisco124%6Mozilla114%7Foxit103%8Linux103%9RubyonRails93%10其他14448%表2漏洞产品涉及厂商分布统计表漏洞按影响类型统计本周,CNVD收录了298个漏洞.
其中应用程序漏洞222个,操作系统漏洞37个,Web应用漏洞20个,网络设备漏洞18个,安全产品1个.
漏洞影响对象类型漏洞数量应用程序漏洞222操作系统漏洞37Web应用漏洞20网络设备漏洞18安全产品漏洞1表3漏洞按影响类型统计表图1本周漏洞按影响类型分布本周行业漏洞信息本周,CNVD收录了20个电信行业漏洞、14个移动互联网行业漏洞、5个工控系统行业漏洞(如下图表所示).
其中,"CiscoASASoftwareIKE密钥交换协议缓冲区溢出漏洞、Androidmediaserver任意代码执行漏洞、Android'QualcommPerformanceModule'提权漏洞、AndroidQualcommWiFiDriver权限提升漏洞、AndroidSetupWizard权限提升漏洞(CNVD-2016-00872、CNVD-2016-00871)、Android'Debuggerd'权限提升漏洞、AndroidMediaserver权限提升漏洞、Android内存错误引用漏洞(CNVD-2016-01054)、Android内存破坏漏洞(CNVD-2016-01097、CNVD-2016-01096、CNVD-2016-01099、CNVD-2016-01098)、SiemensSIMATICS7-1500拒绝服务漏洞(CNVD-2016-00931)"的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序.
行业漏洞编号漏洞标题危险等级是否有补丁电信CNVD-2016-00863HuaweiE51864GLTERouter安全绕过漏洞中是电信CNVD-2016-00911KDDIHOMESPOTCUBEdevices存在未明漏洞(CNVD-2016-00911)中是电信CNVD-2016-00912KDDIHOMESPOTCUBEdevices存在未明漏洞中是电信CNVD-2016-00913KDDIHOMESPOTCUBEdevices跨站请求伪造漏洞中是电信CNVD-2016-00914KDDIHOMESPOTCUBEdevicesCRLF注入漏洞中是电信CNVD-2016-00915KDDIHOMESPOTCUBEdevices开放重定向漏洞中是电信CNVD-2016-00929CiscoASASoftwareIKE密钥交换协议缓冲区溢出漏洞高是电信CNVD-2016-00992ISCBIND9SupportedPreviewEdition拒绝服务漏洞中是电信CNVD-2016-01056CiscoUnifiedCommunicationsManager信息泄露漏洞(CNVD-2016-01056)中是电信CNVD-2016-01062CiscoUnifiedCommunicationsManager信息泄露漏洞(CNVD-2016-01062)中是电信CNVD-2016-01064CiscoUnifiedCommunicationsManagerSQL注入漏洞中是电信CNVD-2016-01069IBMWebSphereMQ信息泄露漏洞(CNVD-2016-01069)低是电信CNVD-2016-01065CiscoWebExMeetingsServer存在多个跨站脚本漏洞中是电信CNVD-2016-01118IBMWebSpherePortalLDAP注入漏洞中是电信CNVD-2016-01117IBMWebSphereCommerceEnterpriseUpdateInstaller信息泄露漏洞中是电信CNVD-2016-01124CiscoEmergencyResponder存在多个跨站脚本漏洞中是电信CNVD-2016-01125CiscoUniversalSmallCell设备未授权固件检索漏洞中是电信CNVD-2016-01126CiscoIOS拒绝服务漏洞(CNVD-2016-01126)中是电信CNVD-2016-01127HuaweiSmartAXMT882拒绝服务漏洞(CNVD-2016-01127)中是电信CNVD-2016-01128HuaweiSmartAXMT882拒绝服务漏洞中是移动互联网CNVD-2016-00865Android安全绕过漏洞中是移动互联网CNVD-2016-00864Androidmediaserver任意代码执行漏洞高是移动互联网CNVD-2016-00870AndroidMinikin库拒绝服务漏洞低是移动互联网CNVD-2016-00868Android'QualcommPerformanceModule'提权漏洞高是移动互联网CNVD-2016-00873AndroidQualcommWiFiDriver权限提升漏洞高是移动互联网CNVD-2016-00872AndroidSetupWizard权限提升漏洞(CNVD-2016-00872)高是移动互联网CNVD-2016-00871AndroidSetupWizard权限提升漏洞(CNVD-2016-00871)高是移动互联网CNVD-2016-00876Android'Debuggerd'权限提升漏洞高是移动互联网CNVD-2016-00875AndroidMediaserver权限提升漏洞高是移动互联网CNVD-2016-01054Android内存错误引用漏洞(CNVD-2016-01054)高是移动互联网CNVD-2016-01097Android内存破坏漏洞(CNVD-2016-01097)高是移动互联网CNVD-2016-01096Android内存破坏漏洞(CNVD-2016-01096)高是移动互联网CNVD-2016-01099Android内存破坏漏洞(CNVD-2016-01099)高是移动互联网CNVD-2016-01098Android内存破坏漏洞(CNVD-2016-01098)高是工控系统CNVD-2016-00930SiemensSIMATICS7-1500绕过机制漏洞低是工控系统CNVD-2016-00931SiemensSIMATICS7-1500拒绝服务漏洞(CNVD-2016-00931)高是工控系统CNVD-2016-00979SautermoduWebVisionWeb服务器跨站脚本漏洞中是工控系统CNVD-2016-00978SautermoduWebVision安全绕过漏洞中是工控系统CNVD-2016-00977SautermoduWebVision证书不安全存放漏洞中是图1电信行业漏洞统计图2移动互联网行业漏洞统计图3工控系统行业漏洞统计本周重要漏洞信息本周,CNVD整理和发布以下重要安全漏洞信息.
1、Cisco产品安全漏洞CiscoASA是一款自适应安全设备,可提供安全和VPN服务的模块化平台,可提供防火墙、IPS、anti-X和VPN服务.
CiscoEmergencyResponder实时位置地址跟踪数据库和增强的路由功能可以根据呼叫者的位置,将紧急呼叫直接转移到相应的公共安全应答点(PASP).
CiscoUniversalSmallCellSolution是一个端到端架构,集成了3G、LTE、电信级Wi-Fi及SON技术,实现安全有效的异构网络.
CiscoIOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统.
CiscoUnityConnection(UC)是美国思科(Cisco)公司的一套语音留言平台.
该平台可利用语音命令,以"免提"方式拨打电话或者收听留言.
CiscoUnifiedCommunicationsManager是美国思科(Cisco)公司的IPTelephony解决方案的呼叫处理组件.
本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可获取敏感信息、进行跨站攻击、发起拒绝服务攻击或执行等.
CNVD收录的相关漏洞包括:CiscoASASoftwareIKE密钥交换协议缓冲区溢出漏洞、CiscoEmergencyResponder存在多个跨站脚本漏洞、CiscoUniversalSmallCell设备未授权固件检索漏洞、CiscoIOS拒绝服务漏洞(CNVD-2016-01126)、CiscoUnityConnection跨站脚本漏洞(CNVD-2016-01055)、CiscoUnifiedCommunicationsManagerSQL注入漏洞、CiscoUnifiedCommunicationsManager信息泄露漏洞(CNVD-2016-01056、CNVD-2016-01062).
其中,"CiscoASASoftwareIKE密钥交换协议缓冲区溢出漏洞"的综合评级为"高危".
目前,厂商已经发布了除"CiscoUnityConnection跨站脚本漏洞(CNVD-2016-01055)"外,其余漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-00929http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01124http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01125http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01126http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01055http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01064http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01056http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-010622、GNU产品安全漏洞GNUglibc是一款按LGPL许可协议发布的开源C语言编译程序,是Linux操作系统中C库的实现.
本周,上述产品被披露存在缓冲区溢出漏洞.
攻击者利用漏洞可通过构建恶意dns服务或使用中间人的方法对受害者发起攻击,对Linux终端设备构成安全威胁.
CNVD收录的相关漏洞包括:GNUglibcgetaddrinfo()堆栈缓冲区溢出漏洞、GNUglibc栈缓冲区溢出漏洞.
其中,"GNUglibcgetaddrinfo()堆栈缓冲区溢出漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01100http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-009573、Adobe产品安全漏洞AdobeFlashPlayer&Compiler是美国奥多比(Adobe)公司的一个集成的多媒体播放器,短小精悍,能够在各种浏览器、操作系统和移动设备上使用.
本周,上述产品被披露存在拒绝服务漏洞,攻击者利用漏洞可发起拒绝服务攻击.
CNVD收录的相关漏洞包括:AdobeFlashPlayer&Compiler拒绝服务漏洞(CNVD-2016-01047、CNVD-2016-01044、CNVD-2016-01045、CNVD-2016-01046、CNVD-2016-01049、CNVD-2016-01050、CNVD-2016-01051、CNVD-2016-01048).
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01047http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01044http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01045http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01046http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01049http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01050http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01051http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-010484、FFmpeg产品安全漏洞FFmpeg是FFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案.
本周,上述产品被披露存在拒绝服务漏洞,攻击者利用漏洞可发起拒绝服务攻击.
CNVD收录的相关漏洞包括:FFmpeg拒绝服务漏洞(CNVD-2016-01129、CNVD-2016-01130、CNVD-2016-01131、CNVD-2016-01132)、FFmpeg'jpeg2000_decode_tile'函数拒绝服务漏洞.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01129http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01130http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01131http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-01132http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-010005、PHPFileManager'phpfm.
php'身份验证绕过漏洞PHPFileManager是一套使用PHP脚本管理Web站点的应用程序.
本周,PHPFileManager被披露存在身份验证绕过漏洞,攻击者可利用漏洞获取有效的会话,使用受限功能执行shell命令.
目前,厂商尚未发布漏洞修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-00975更多高危漏洞如表3所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-00861WordPresseshop插件SQL注入漏洞高用户可联系供应商获得补丁信息:https://wordpress.
org/CNVD-2016-00879NTPCronjobScript本地提权漏洞高暂无CNVD-2016-00885多款F5BIG-IP产品任意文件上传漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://support.
f5.
com/kb/en-us/solutions/public/k/49/sol49580002.
htmlCNVD-2016-00893phpMyAdmin安全绕过漏洞(CNVD-2016-00893)高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
phpmyadmin.
net/CNVD-2016-00900MozillaFirefox缓冲区溢出漏洞(CNVD-2016-00900)高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.
mozilla.
org/security/announce/2016/mfsa2016-03.
htmlCNVD-2016-00902MozillaFirefox代码执行漏洞(CNVD-2016-00902)高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.
mozilla.
org/security/announce/2016/mfsa2016-01.
htmlCNVD-2016-00903MozillaFirefox代码执行漏洞(CNVD-2016-00903)高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.
mozilla.
org/security/announce/2016/mfsa2016-01.
htmlCNVD-2016-00910AppleOSXAppleGraphicsPowerManagement权限提升漏洞高目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://support.
apple.
com/HT205731CNVD-2016-00917FoxitReaderXFAFormCalcreplace整数溢出远程代码执行漏洞高目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://www.
foxitsoftware.
com/support/security-bulletins.
phpCNVD-2016-00918FoxitPhantomPDFWillClose内存错误引用远程代码执行漏洞高目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://www.
foxitsoftware.
com/support/security-bulletins.
php表3部分高危漏洞列表小结:本周,Cisco被披露存在多个安全漏洞,攻击者利用漏洞可获取敏感信息、进行跨站攻击和发起拒绝服务攻击等.
另外,GNU、Adobe、FFmpeg等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息和发起拒绝服务攻击等.
此外,PHPFileManager被披露存在一个高危漏洞,攻击者可利用漏洞获取有效的会话,使用受限功能执行shell命令.
本周重要漏洞修补信息CNVD整理和发布以下重要安全修补信息.
1、McAfee修补VulnerabilityManager产品漏洞McAfeeVulnerabilityManager是美国迈克菲公司的一套安全风险管理解决方案.
本周,McAfee修补了上述产品存在的跨站请求伪造漏洞,避免攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作.
CNVD已收录相关补丁,请广大用户及时下载更新,避免引发漏洞相关的网络安全事件.
补丁下载链接:http://www.
cnvd.
org.
cn/patchInfo/show/71249本周要闻速递1.
AdobeCreativeCloud漏洞导致Mac用户数据删除Adobe系统已经暂停了对CreativeCloud图形服务的某个版本更新.
有报道称,有一个Mac版本的CreativeCloud服务会不经过用户允许,直接越权删除本地的用户数据.
据Backblaze官方所述,这个自删除漏洞需要Mac用户更新该Adobe的补丁,然后登录Adobe服务才能触发.
在登录后,由CreativeCloud激活的某个脚本,会删除Mac电脑根目录下第一顺位(按字母顺序)的子目录.
Backblaze用户深受该漏洞影响,因为备份服务会将数据存储在根目录的隐藏目录.
bzvol.
这个隐藏目录按字母排序的话,正好是根目录的第一个目录,因此这批用户遭遇的就不仅是软件包被删除那么简单了.
参考链接:http://www.
freebuf.
com/news/96332.
html2.
新型word文档恶意勒索软件出现,每日可感染达十万台计算机如果你最近收到一封邮件,而这封邮件里面包含一个微软word文档,那么你很有可能已经感染了微软宏病毒.
恶意攻击者会开展社会工程学攻击,或通过发送引人注目的垃圾邮件,接下来会诱导受害者访问虚假网站在其系统中安装一款恶意软件"Locky".
如果你发现你的电脑中出现了文件后缀名为.
locky的文件,那么你就感染了该恶意软件,接下来你可以做两件事情,要么按照提示支付赎金,要么重现安装系统.
该款恶意软件以4000台/小时速度传播,这意味着每天会出现100000台新感染的计算机.
参考链接:http://www.
freebuf.
com/news/96570.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999