漏洞京东白条漏洞

本周漏洞基本情况本周信息安全漏洞威胁整体评价级别为高.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞213个,其中高危漏洞62个、中危漏洞140个、低危漏洞11个.
上述漏洞中,可利用来实施远程攻击的漏洞有194个.
本周收录的漏洞中,已有181个漏洞由厂商提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击.
本周互联网上出现"McAfeeePolicyOrchestrator存在多个漏洞"、"AdvancedUserTaggingModuleforvBulletin'usertag.
php'跨站脚本漏洞"等的零日攻击代码,请使用相关产品的用户注意加强防范.
成员单位报送漏洞统计本周,共5家成员单位及个人报送了本周收录的全部213个漏洞.
各单位报送情况如表1所示.
其中,启明星辰、天融信、安天实验室等单位报送数量较多.
此外,知道创宇公司、High-TechBridgeSecurityResearchLab、天讯瑞达通信技术有限公司和奇虎公司以及个人报送者向CNVD提交了78个原创漏洞.
其中,白帽子(ID:ccbx2000)提交了数十个受ApacheStruts2远程代码执行漏洞(CNVD-2013-28972,对应CVE-2013-2251)影响的国内政府、高校和企事业单位网站漏洞事件.
报送单位或个人漏洞报送数量原创漏洞数量启明星辰1800绿盟科技390安天实验室1120天融信1210国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2013年07月15日-2013年07月21日2013年第29期恒安嘉新270知道创宇32东软30天讯瑞达通信技术有限公司71High-TechBridge11奇虎36011个人7373报送总计56778录入总计213(去重)78表1成员单位上报漏洞统计表CNVD整理和发布的漏洞涉及Oracle、Cisco、Google等多家厂商的产品,部分漏洞数量按厂商统计如表2所示.
序号厂商(产品)漏洞数量所占比例1Oracle7535%2Cisco2311%3Google168%4FFmpeg105%5Juniper63%6Moodle42%7HP31%8Linux31%9Apache31%10Huawei21%11其它6832%表2漏洞产品涉及厂商分布统计表漏洞按影响类型统计本周,CNVD收录了213个漏洞.
其中应用程序漏洞137个,WEB应用漏洞19个,操作系统漏洞21个,数据库漏洞26,网络设备漏洞10个.
漏洞影响对象类型漏洞数量应用程序漏洞137WEB应用漏洞19网络设备漏洞10操作系统漏洞21安全产品漏洞0数据库漏洞26表3漏洞按影响类型统计表图1本周漏洞按影响类型分布本周涉及电信行业漏洞信息本周,CNVD收录了25个电信行业漏洞和1个移动互联网行业漏洞(如下列表所示).
其中,"OracleMySQLServer远程拒绝服务漏洞"和"GoogleAndroid'APK'代码远程安全绕过漏洞"的漏洞综合评级均为"高危".
相关厂商已经发布了漏洞修复程序.
本周,CNVD未收录工业系统行业漏洞.
行业漏洞编号漏洞标题危险等级是否有补丁电信CNVD-2013-28559CiscoUnifiedCommunicationsManagement产品跨站脚本漏洞中危有补丁电信CNVD-2013-28940OracleMySQLServer远程拒绝服务漏洞高危有补丁电信CNVD-2013-28949CiscoSecureAccessControlSystem帮助索引页跨站脚本漏洞中危有补丁电信CNVD-2013-28950CiscoSecureAccessControlSystem管理页跨站脚本漏洞中危有补丁电信CNVD-2013-28951CiscoSecureAccessControlSystem跨站脚本漏洞中危有补丁电信CNVD-2013-28952CiscoSecureAccessControlSystem管理和查看页跨站请求伪造漏洞中危有补丁电信CNVD-2013-29230CiscoIdentityServicesEngineSoftware跨站请求伪造漏洞中危有补丁电信CNVD-2013-29237CiscoUnifiedCommunicationsManagerSQL注入漏洞中危有补丁电信CNVD-2013-29238CiscoUnifiedCommunicationsManagerSQL注入漏洞中危有补丁电信CNVD-2013-29239CiscoUnifiedCommunicationsManager本地权限提升漏洞中危有补丁电信CNVD-2013-29240CiscoUnifiedCommunicationsManager本地权限提升漏洞中危有补丁电信CNVD-2013-29270CiscoSecureAccessControlSystem信息泄露漏洞中危有补丁电信CNVD-2013-29024OracleMySQLServerServerOptions子件存在未明漏洞(CNVD-2013-29024)中危有补丁电信CNVD-2013-29025OracleMySQLServerServerOptions子件存在未明漏洞(CNVD-2013-29025)中危有补丁电信CNVD-2013-29026OracleMySQLServerServerParser子件存在未明漏洞中危有补丁电信CNVD-2013-29027OracleMySQLServerServerPartition子件存在未明漏洞中危有补丁电信CNVD-2013-29028OracleMySQLServerServerPrivileges子件存在未明漏洞中危有补丁电信CNVD-2013-29029OracleMySQLServerInnoDB子件存在未明漏洞(CNVD-2013-29029)低危有补丁电信CNVD-2013-29030OracleMySQLServerServerReplication子件存在未明漏洞低危有补丁电信CNVD-2013-29031OracleMySQLServerXATransactions子件存在未明漏洞低危有补丁电信CNVD-2013-29032OracleMySQLServerMemCached子件存在未明漏洞中危有补丁电信CNVD-2013-29034OracleMySQLServerDataManipulationLanguage子件存在未明漏洞中危有补丁电信CNVD-2013-29035OracleMySQLServerFullTextSearch子件存在未明漏洞中危有补丁电信CNVD-2013-29036OracleMySQLServerInnoDB子件存在未明漏洞(CNVD-2013-29036)中危有补丁电信CNVD-2013-29037OracleMySQLServerPreparedStatements子件存在未明漏洞中危有补丁移动互联网CNVD-2013-28546GoogleAndroid'APK'代码远程安全绕过漏洞高危有补丁图2电信行业漏洞统计图3移动互联网行业漏洞统计本周重要漏洞信息本周,CNVD整理和发布以下重要安全漏洞信息.
1、ApacheStruts2远程命令执行漏洞Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架.
它是WebWork和Struts社区合并后的产物.
本周,Struts2被披露存在远程命令执行漏洞和开放重定向漏洞(编号:CNVD-2013-28972,对应CVE-2013-2251;CNVD-2013-28979,对应CVE-2013-2248).
攻击者可以利用漏洞执行任意代码,取得服务器远程控制权.
CNVD收录的漏洞包括:ApacheStruts远程命令执行漏洞、ApacheStruts开放重定向漏洞.
上述漏洞的综合评级均为"高危".
厂商已发布上述漏洞的修补程序.
CNVD提醒广大用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28979http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-289722、Oracle产品安全漏洞OracleSolaris是一款基于Unix的操作系统;OracleDatabase是一款商业性质的大型数据库;OracleSecureGlobalDesktop是Oracle从Sun获得的三个桌面虚拟化产品之一,供用户访问服务器托管的应用程序和服务器托管的桌面.
本周,上述产品被披露存在安全漏洞,攻击者利用漏洞可提升权限,使应用程序崩溃或执行任意代码.
CNVD收录的相关漏洞包括:OracleSolarisKernel/STREAMSframework子件存在未明远程拒绝服务漏洞、OracleSolarisClusterZoneClusterInfrastructure子件未明本地权限提升漏洞、OracleSolarisClusterHAforTimesTen子件存在未明本地权限提升漏洞、OracleSolarisKernel/VM子件存在未明本地权限提升漏洞、OracleSolarisDriver/IDM子件存在未明远程拒绝服务漏洞、OracleSecureGlobalDesktopWebUI存在未明远程漏洞、OracleDatabaseServerNetworkLayer组件存在未明远程代码执行漏洞、OracleDatabaseOracleExecutable组件存在未明本地权限提升漏洞(CNVD-2013-28996)等.
上述漏洞的综合评级均为"高危".
厂商已发布上述漏洞的修补程序.
CNVD提醒广大用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29063http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29059http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29058http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29057http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29056http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29055http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28999http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-289963、Cisco产品安全漏洞CiscoUnifiedCommunicationsManager是一款CiscoIP电话解决方案中的呼叫处理组件;CiscoIDSM-2是入侵检测和防御(IDS/IPS)解决方案系列的一个组件;思科入侵预防系统(CiscoIPS)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备;CiscoSecureACS是一款Cisco网络设备的中央管理平台,用于控制设备的认证和授权.
本周,上述思科产品被披露存在安全漏洞,攻击者利用漏洞可使设备重载,导致拒绝服务攻击,劫持用户会话,获取敏感信息.
CNVD收录的相关漏洞包括:CiscoUnifiedCommunicationsManager内置加密密钥漏洞、CiscoIDSM-2畸形TCP报文远程拒绝服务漏洞、CiscoIPSNME畸形IP报文远程拒绝服务漏洞、CiscoIPS畸形IP报文远程拒绝服务漏洞、CiscoIPS分片通信远程拒绝服务漏洞、CiscoSecureAccessControlSystem跨站脚本漏洞、CiscoSecureAccessControlSystem管理页跨站脚本漏洞、CiscoSecureAccessControlSystem帮助索引页跨站脚本漏洞等.
其中,除"CiscoSecureAccessControlSystem跨站脚本漏洞、CiscoSecureAccessControlSystem管理页跨站脚本漏洞、CiscoSecureAccessControlSystem帮助索引页跨站脚本漏洞"外,其余漏洞的综合评级均为"高危".
厂商已发布了上述漏洞的修补程序.
CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29241http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29234http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29233http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29232http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29231http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28951http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28950http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-289494、JuniperJunos安全漏洞JuniperNetworksJUNOS是一款Juniper网络公司的系列边界路由器等所运行的操作系统.
本周,该产品被披露存在多个安全漏洞.
攻击者利用漏洞可使系统崩溃导致拒绝服务攻击.
CNVD收录的相关漏洞包括:JuniperJunosflowd拒绝服务漏洞(CNVD-2013-28665、CNVD-2013-28664)、JuniperJunos内核拒绝服务漏洞、JuniperJunosflowd缓冲区溢出漏洞.
上述漏洞的综合评级为"高危".
厂商已发布上述漏洞的修补程序.
CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28665http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28664http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28663http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-286625、Linux产品安全漏洞LinuxKernel是一款开源的操作系统.
本周,该产品被披露存在多个漏洞.
攻击者利用漏洞可使系统崩溃导致拒绝服务攻击.
CNVD收录的相关漏洞包括:kernelpackage-358.
11.
1.
el6onRedHatEnterpriseLinux6拒绝服务漏洞、LinuxKernel内存错误引用漏洞(CNVD-2013-29189)、Linuxfib6_add_rt2nodeRA消息处理拒绝服务漏洞.
其中,"Linuxfib6_add_rt2nodeRA消息处理拒绝服务漏洞"的综合评级为"高危".
厂商已发布上述漏洞的修补程序.
CNVD提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29282http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-29189http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-289196、AdvancedUserTaggingModuleforvBulletin'usertag.
php'跨站脚本漏洞vBulletin是一款论坛程序.
本周,该产品被披露存在一个跨站脚本漏洞.
AdvancedUserTaggingModuleforvBulletin'usertag.
php'未能正确过滤用户提交给hashtag的输入,远程攻击者利用漏洞可注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或劫持用户会话.
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2013-28654更多高危漏洞如表3所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2013-29248OpenSSH远程拒绝服务漏洞高暂无CNVD-2013-29246多个EMCAvamar产品未授权访问漏洞高EMCAvamarServer和EMCAvamarVirtualEdition7.
0已经修复此漏洞,建议用户下载更新:http://www.
emc.
com/products/detail/software/avamar.
htmCNVD-2013-29245LightAudioMixer'.
wav'文件远程拒绝服务漏洞高暂无CNVD-2013-29244Kate'sVideoToolkit'.
wav'文件远程拒绝服务漏洞高暂无CNVD-2013-29243IBMAIX多个本地权限提升漏洞高用户可联系厂商获得相应的升级或补丁程序:http://aix.
software.
ibm.
com/aix/efixes/security/infiniband_advisory.
ascCNVD-2013-29229AutodeskAutoCADDWG文件处理任意代码执行漏洞高用户可参考如下供应商提供的安全公告获得补丁信息:http://usa.
autodesk.
com/adsk/servlet/ps/dl/itemid=21972896&linkID=9240618&siteID=123112CNVD-2013-29202WordPressSpicyBlogroll插件'spicy-blogroll-ajax.
php'远程文件包含漏洞高暂无CNVD-2013-29195ReadyMedia(MiniDLNA)TiVo命令处理SQL注入漏洞(CNVD-2013-29195)高目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://sourceforge.
net/projects/minidlna/files/minidlna/1.
1.
0/CNVD-2013-29187JGroups'DiagnosticsHandler::run()'报文处理安全绕过漏洞高目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.
jgroups.
orgCNVD-2013-29185HuaweiE5873GMobileHotspot/api/device/time远程命令执行漏洞(CNVD-2013-29185)高暂无表3部分高危漏洞列表小结:CNVD收录了ApacheStruts存在一个远程命令执行漏洞和一个开放重定向漏洞(编号:CNVD-2013-28972,对应CVE-2013-2251;CNVD-2013-28979,对应CVE-2013-2248).
利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁.
Oracle和Cisco多款产品被披露存在多个漏洞,攻击者利用漏洞可提升权限,使设备重载,执行任意代码.
JuniperNetworksJUNOS和LinuxKernel操作系统被披露存在的漏洞可导致系统崩溃造成拒绝服务攻击.
此外,vBulletin论坛程序被披露存在一个跨站脚本的零日漏洞,建议相关用户应随时关注厂商主页,及时获取修复补丁或解决方案.
本周重要漏洞修补信息CNVD整理和发布以下重要安全修补信息.
1、Apache发布升级程序,修补Struts安全漏洞ApacheStruts框架是一个基于JavaServlets,JavaBeans和JavaServerPages(JSP)的Web应用框架的开源项目.
本周,Apache发布升级程序,修补了Struts框架是存在的重定向和远程命令执行漏洞.
远程攻击者可以利用漏洞重定向URL到任意位置,或提交特殊URL可用于执行任意Java代码.
CNVD已收录相关补丁,请广大用户及时下载更新,避免引发漏洞相关的安全事件.
补丁下载链接:http://www.
cnvd.
org.
cn/patchInfo/show/35188http://www.
cnvd.
org.
cn/patchInfo/show/35183本周要闻速递1.
部分SIM卡被曝存安全漏洞7月22日消息,据国外媒体报道,一安全研究人员发现部分移动SIM卡所使用的加密方式存在一个安全漏洞,可能会导致手机被黑客远程控制.
该漏洞涉及使用DES数据加密标准的SIM卡——DES是一种较旧的标准,目前正被部分厂商逐步淘汰,但仍有数亿张SIM卡使用.
参考链接:http://tech.
163.
com/13/0722/07/94CDL194000915BE.
html2.
Struts2爆高危漏洞殃及大量网站7月17日知名安全漏洞报告平台乌云发布安全警告,近期struts框架再次发布高危安全漏洞补丁,乌云收到众多安全厂商关于此漏洞的安全报告,此漏洞影响struts2.
0-struts2.
3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,提醒各大网站和站长第一时间发现和处理安全问题处理请关注.
最新的消息显示淘宝、京东、腾讯等大型互联网厂商存在该漏洞,目前影响厂商扔在增长中.
而且漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容.
参考链接:http://net.
chinabyte.
com/440/12667440.
shtml关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称(英文简称为CNCERT或CNCERT/CC),成立于1999年9月,是一个非政府非盈利的网络安全技术协调组织,主要任务是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展中国互联网上网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公共互联网环境的安全、保障基础信息网络和网上重要信息系统的安全运行.
目前,CNCERT在我国大陆31个省、自治区、直辖市设有分中心.
同时,CNCERT积极开展国际合作,是中国处理网络安全事件的对外窗口.
CNCERT是国际著名网络安全合作组织FIRST正式成员,也是APCERT的发起人之一,致力于构建跨境网络安全事件的快速响应和协调处置机制.
截止2012年,CNCERT与51个国家和地区的91个组织建立了"CNCERT国际合作伙伴"关系.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999