漏洞zen-cart
zen-cart 时间:2021-05-08 阅读:()
本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞433个,其中高危漏洞159个、中危漏洞254个、低危漏洞20个.
漏洞平均分值为6.
12分.
本周收录的漏洞中,涉及0day漏洞108个(占25%).
其中互联网上出现"BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞、BarracudaNetworksSpamandVirusFirewall远程命令注入漏洞"等零日代码攻击漏洞,请使用相关产品的用户注意加强防范.
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数158个,与上周(648个)环比下降76%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共9家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部433个漏洞.
报送情况如表1所示.
其中,天融信、绿盟科技、安天实验室、启明星辰等单位报送数量较多.
漏洞盒子、深圳市深信服电子科技有限公司、中国科学院软件研究国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年07月25日-2016年07月31日2016年第31期所-总体部及其他个人白帽子向CNVD提交了158个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量天融信2920绿盟科技2620安天实验室2490启明星辰2004恒安嘉新915H3C660杭州安恒信息技术有限公司220中国电信集团系统集成有限责任公司250东软2970漏洞盒子3636深圳市深信服电子科技有限公司1414中国科学院软件研究所-总体部1212CNCERT上海分中心1616CNCERT陕西分中心1515CNCERT江西分中心77CNCERT河南分中心55CNCERT山西分中心55CNCERT宁夏分中心11个人3838报送总计1653158录入总计433(去重)158表1漏洞报送情况统计表本周漏洞按类型和厂商统计本周,CNVD收录了433个漏洞.
其中应用程序漏洞274个,web应用漏洞92个,操作系统漏洞26个,数据库漏洞22个,网络设备漏洞10个,安全产品漏洞9个.
漏洞影响对象类型漏洞数量应用程序漏洞274web应用漏洞92操作系统漏洞26数据库漏洞22网络设备漏洞10安全产品漏洞9表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Oracle、Google、Apple等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Oracle17741%2Google194%3Apple184%4PHP113%5Drupal102%6WordPress102%7Cisco51%8YPO351%9Siemens41%10其他17441%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了59个电信行业漏洞,14个移动互联网行业漏洞,6个工控系统行业漏洞(如下图所示).
其中,"OracleFusionMiddlewareOutsideInTechnology存在未明漏洞(CNVD-2016-05414、CNVD-2016-05415、CNVD-2016-05416、CNVD-2016-05417、CNVD-2016-05418、CNVD-2016-05419、CNVD-2016-05420、CNVD-2016-05421、CNVD-2016-05422、CNVD-2016-05423)、AppleCoreGraphicsBMPFrameworkimg_decode_read远程代码执行漏洞等"的综合评级为"高危".
详情请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计图5工控系统行业漏洞统计本周本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Oracle产品安全漏洞OracleMySQLServer是一个轻量的关系型数据库系统.
本周,该产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
CNVD收录的相关漏洞包括:OracleMySQLServer存在未明漏洞(CNVD-2016-05386、CNVD-2016-05387、CNVD-2016-05388、CNVD-2016-05389、CNVD-2016-05390、CNVD-2016-05391、CNVD-2016-05392、CNVD-2016-05393)等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05386http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05387http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05388http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05389http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05390http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05391http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05392http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-053932、Google产品安全漏洞GoogleChrome是由Google开发的一款Web浏览工具.
本周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息或发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:GoogleChrome拒绝服务漏洞(CNVD-2016-05481)、GoogleChromeV8内存破坏漏洞(CNVD-2016-05586)、GoogleChromePAC功能信息泄露漏洞、GoogleChromeOS堆缓冲区溢出漏洞、GoogleChromelibxml2内存错误引用漏洞、GoogleChromeExtensions子系统拒绝服务漏洞、GoogleChromeCSPSource::schemeMatches信息泄露漏洞、GoogleChrome'ByteArray::Get'方法堆缓冲区溢出漏洞等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05481http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05586http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05594http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05690http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05639http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05515http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05597http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055183、Apple产品安全漏洞AppleiOS、OSX、tvOS和watchOS都是美国苹果(Apple)公司的产品.
AppleiOS是为移动设备所开发的一套操作系统;OSX是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统.
kernel是其中的一个内核组件.
Safari是一款Web浏览器,是MacOSX和iOS操作系统附带的默认浏览器;WebKit是KDE社区开发的一套开源Web浏览器引擎,目前被AppleSafari及GoogleChrome等浏览器使用.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或造成内存破坏等.
CNVD收录的相关漏洞包括:多款Apple产品跨站脚本漏洞、多款Apple产品内存破坏漏洞(CNVD-2016-05667)、多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)、多款Apple产品WebKit内存破坏漏洞(CNVD-2016-05672、CNVD-2016-05671、CNVD-2016-05669)、多款Apple产品WebKit信息泄露漏洞等.
其中,"多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05668http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05667http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05665http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05663http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05672http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05671http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05670http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-056694、PHP产品安全漏洞PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中.
本周,该产品被披露存在远程代码执行、信息泄露和拒绝服务漏洞,攻击者可利用漏洞执行远程代码、获取敏感信息和发起拒绝服务攻击.
CNVD收录的相关漏洞包括:PHP远程代码执行漏洞(CNVD-2016-05253)、PHPvirtual_file_ex拒绝服务漏洞、PHPphp_url_parse_ex拒绝服务漏洞、PHPlocale_accept_from_http拒绝服务漏洞、PHPext/snmp/snmp.
c拒绝服务漏洞、PHPext/session/session.
c拒绝服务漏洞、PHPexif_process_user_comment拒绝服务漏洞、PHPexif_process_IFD_in_MAKERNOTE信息泄露漏洞等.
其中,PHP远程代码执行漏洞(CNVD-2016-05253)的综合评级为"高危".
目前,除"PHP远程代码执行漏洞(CNVD-2016-05253)"外,厂商已发布其余漏洞的补丁程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05253http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05566http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05564http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05569http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05570http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05565http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05568http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055675、BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞BarracudaWebApplicationFirewall和LoadBalancer都是美国梭子鱼(BarracudaNetworks)公司的产品.
前者是一款Web应用防火墙,后者是一款应用交付控制器.
本周,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05692更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-05250Accel-PPP远程内存破坏漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://sourceforge.
net/projects/accel-ppp/CNVD-2016-05257PulseSecureDesktopClient权限提升漏洞高厂商已在最新版本中修复该漏洞,请及时关注更新:https://kb.
pulsesecure.
net/articles/Pulse_Security_Advisories/SA40241CNVD-2016-05259DrupalScaldFile模块远程代码执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://drupal.
org/CNVD-2016-05491Veil-EvasionRPC命令注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://www.
veil-framework.
com/CNVD-2016-05366WordPressVideoPlayerSQL注入漏洞高用户可联系供应商获得补丁信息:https://www.
wordpress.
org/CNVD-2016-05381ZenCart'admin_account.
php'远程权限提升漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
zen-cart.
com/CNVD-2016-05458op5Monitor'cmd_str'参数远程命令执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.
op5.
com/blog/news/op5-monitor-7-2-0-release-notes/CNVD-2016-05258TYPO3'AnotherSimpleGallery'扩展SQL注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/CNVD-2016-05477IPFire存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ipfire.
org/CNVD-2016-05456TYPO3'http:BLBlocking'扩展存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/表4部分重要高危漏洞列表小结:本周,Oracle产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
此外,Google、Apple、PHP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击和发起拒绝服务攻击等.
另外,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
大量无线键盘存在KeySniffer漏洞,可嗅探用户输入本周,大量无线键盘存在KeySniffer漏洞.
存在漏洞的键盘与插入电脑的USB无线接收器之间的数据都是明文传输的.
这样攻击者就能够检测到受害用户输入的文字了.
也正由于没有加密,攻击者还能够在数据流中注入他们自己的键盘敲击.
KeySniffer攻击使用了逆向工程收发器的技术.
KeySniffer漏洞无法通过补丁修复.
因此,建议广大用户们还是换个好一点的蓝牙键盘,或者索性换成有线键盘吧.
参考链接:http://www.
freebuf.
com/vuls/110265.
html2.
LastPass再曝多枚高危漏洞,用户账号信息存在被盗风险LastPass是全球最流行的云密码管理工具之一.
这款工具主打用户的互联网账号和密码管理,和1Pass很相似.
在PC端,用户可以使用LastPass提供的浏览器插件对自己的账号密码进行管理,在手机端则是APP.
来自GoogleProjectZero的研究人员TavisOrmandy目前发现了几个LastPass0day漏洞.
LastPass目前已经紧急修补了该漏洞,也没有公开漏洞细节.
这里有一些情况我们不得为知.
2016年7月27日,某位安全研究人员发现了一枚LastPass的命令执行漏洞.
LastPass在信息通讯的过程中,会对JS代码做一个可信验证.
LastPass目前已经修复该漏洞,并且发表声明称这个漏洞只会影响到火狐的LastPass插件.
参考链接:http://www.
freebuf.
com/news/110378.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞433个,其中高危漏洞159个、中危漏洞254个、低危漏洞20个.
漏洞平均分值为6.
12分.
本周收录的漏洞中,涉及0day漏洞108个(占25%).
其中互联网上出现"BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞、BarracudaNetworksSpamandVirusFirewall远程命令注入漏洞"等零日代码攻击漏洞,请使用相关产品的用户注意加强防范.
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数158个,与上周(648个)环比下降76%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共9家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部433个漏洞.
报送情况如表1所示.
其中,天融信、绿盟科技、安天实验室、启明星辰等单位报送数量较多.
漏洞盒子、深圳市深信服电子科技有限公司、中国科学院软件研究国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2016年07月25日-2016年07月31日2016年第31期所-总体部及其他个人白帽子向CNVD提交了158个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量天融信2920绿盟科技2620安天实验室2490启明星辰2004恒安嘉新915H3C660杭州安恒信息技术有限公司220中国电信集团系统集成有限责任公司250东软2970漏洞盒子3636深圳市深信服电子科技有限公司1414中国科学院软件研究所-总体部1212CNCERT上海分中心1616CNCERT陕西分中心1515CNCERT江西分中心77CNCERT河南分中心55CNCERT山西分中心55CNCERT宁夏分中心11个人3838报送总计1653158录入总计433(去重)158表1漏洞报送情况统计表本周漏洞按类型和厂商统计本周,CNVD收录了433个漏洞.
其中应用程序漏洞274个,web应用漏洞92个,操作系统漏洞26个,数据库漏洞22个,网络设备漏洞10个,安全产品漏洞9个.
漏洞影响对象类型漏洞数量应用程序漏洞274web应用漏洞92操作系统漏洞26数据库漏洞22网络设备漏洞10安全产品漏洞9表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Oracle、Google、Apple等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Oracle17741%2Google194%3Apple184%4PHP113%5Drupal102%6WordPress102%7Cisco51%8YPO351%9Siemens41%10其他17441%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了59个电信行业漏洞,14个移动互联网行业漏洞,6个工控系统行业漏洞(如下图所示).
其中,"OracleFusionMiddlewareOutsideInTechnology存在未明漏洞(CNVD-2016-05414、CNVD-2016-05415、CNVD-2016-05416、CNVD-2016-05417、CNVD-2016-05418、CNVD-2016-05419、CNVD-2016-05420、CNVD-2016-05421、CNVD-2016-05422、CNVD-2016-05423)、AppleCoreGraphicsBMPFrameworkimg_decode_read远程代码执行漏洞等"的综合评级为"高危".
详情请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计图5工控系统行业漏洞统计本周本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Oracle产品安全漏洞OracleMySQLServer是一个轻量的关系型数据库系统.
本周,该产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
CNVD收录的相关漏洞包括:OracleMySQLServer存在未明漏洞(CNVD-2016-05386、CNVD-2016-05387、CNVD-2016-05388、CNVD-2016-05389、CNVD-2016-05390、CNVD-2016-05391、CNVD-2016-05392、CNVD-2016-05393)等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05386http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05387http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05388http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05389http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05390http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05391http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05392http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-053932、Google产品安全漏洞GoogleChrome是由Google开发的一款Web浏览工具.
本周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息或发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:GoogleChrome拒绝服务漏洞(CNVD-2016-05481)、GoogleChromeV8内存破坏漏洞(CNVD-2016-05586)、GoogleChromePAC功能信息泄露漏洞、GoogleChromeOS堆缓冲区溢出漏洞、GoogleChromelibxml2内存错误引用漏洞、GoogleChromeExtensions子系统拒绝服务漏洞、GoogleChromeCSPSource::schemeMatches信息泄露漏洞、GoogleChrome'ByteArray::Get'方法堆缓冲区溢出漏洞等.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05481http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05586http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05594http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05690http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05639http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05515http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05597http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055183、Apple产品安全漏洞AppleiOS、OSX、tvOS和watchOS都是美国苹果(Apple)公司的产品.
AppleiOS是为移动设备所开发的一套操作系统;OSX是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统.
kernel是其中的一个内核组件.
Safari是一款Web浏览器,是MacOSX和iOS操作系统附带的默认浏览器;WebKit是KDE社区开发的一套开源Web浏览器引擎,目前被AppleSafari及GoogleChrome等浏览器使用.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或造成内存破坏等.
CNVD收录的相关漏洞包括:多款Apple产品跨站脚本漏洞、多款Apple产品内存破坏漏洞(CNVD-2016-05667)、多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)、多款Apple产品WebKit内存破坏漏洞(CNVD-2016-05672、CNVD-2016-05671、CNVD-2016-05669)、多款Apple产品WebKit信息泄露漏洞等.
其中,"多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05668http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05667http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05665http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05663http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05672http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05671http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05670http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-056694、PHP产品安全漏洞PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中.
本周,该产品被披露存在远程代码执行、信息泄露和拒绝服务漏洞,攻击者可利用漏洞执行远程代码、获取敏感信息和发起拒绝服务攻击.
CNVD收录的相关漏洞包括:PHP远程代码执行漏洞(CNVD-2016-05253)、PHPvirtual_file_ex拒绝服务漏洞、PHPphp_url_parse_ex拒绝服务漏洞、PHPlocale_accept_from_http拒绝服务漏洞、PHPext/snmp/snmp.
c拒绝服务漏洞、PHPext/session/session.
c拒绝服务漏洞、PHPexif_process_user_comment拒绝服务漏洞、PHPexif_process_IFD_in_MAKERNOTE信息泄露漏洞等.
其中,PHP远程代码执行漏洞(CNVD-2016-05253)的综合评级为"高危".
目前,除"PHP远程代码执行漏洞(CNVD-2016-05253)"外,厂商已发布其余漏洞的补丁程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05253http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05566http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05564http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05569http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05570http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05565http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05568http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-055675、BarracudaWebAppFirewall和LoadBalancer远程命令注入漏洞BarracudaWebApplicationFirewall和LoadBalancer都是美国梭子鱼(BarracudaNetworks)公司的产品.
前者是一款Web应用防火墙,后者是一款应用交付控制器.
本周,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-05692更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2016-05250Accel-PPP远程内存破坏漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://sourceforge.
net/projects/accel-ppp/CNVD-2016-05257PulseSecureDesktopClient权限提升漏洞高厂商已在最新版本中修复该漏洞,请及时关注更新:https://kb.
pulsesecure.
net/articles/Pulse_Security_Advisories/SA40241CNVD-2016-05259DrupalScaldFile模块远程代码执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://drupal.
org/CNVD-2016-05491Veil-EvasionRPC命令注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://www.
veil-framework.
com/CNVD-2016-05366WordPressVideoPlayerSQL注入漏洞高用户可联系供应商获得补丁信息:https://www.
wordpress.
org/CNVD-2016-05381ZenCart'admin_account.
php'远程权限提升漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
zen-cart.
com/CNVD-2016-05458op5Monitor'cmd_str'参数远程命令执行漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.
op5.
com/blog/news/op5-monitor-7-2-0-release-notes/CNVD-2016-05258TYPO3'AnotherSimpleGallery'扩展SQL注入漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/CNVD-2016-05477IPFire存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://www.
ipfire.
org/CNVD-2016-05456TYPO3'http:BLBlocking'扩展存在多个漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:https://typo3.
com/表4部分重要高危漏洞列表小结:本周,Oracle产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性.
此外,Google、Apple、PHP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击和发起拒绝服务攻击等.
另外,BarracudaWebAppFirewall和LoadBalancer被披露存在远程命令注入漏洞.
攻击者可利用该漏洞在受影响设备上下文中执行任意命令.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
大量无线键盘存在KeySniffer漏洞,可嗅探用户输入本周,大量无线键盘存在KeySniffer漏洞.
存在漏洞的键盘与插入电脑的USB无线接收器之间的数据都是明文传输的.
这样攻击者就能够检测到受害用户输入的文字了.
也正由于没有加密,攻击者还能够在数据流中注入他们自己的键盘敲击.
KeySniffer攻击使用了逆向工程收发器的技术.
KeySniffer漏洞无法通过补丁修复.
因此,建议广大用户们还是换个好一点的蓝牙键盘,或者索性换成有线键盘吧.
参考链接:http://www.
freebuf.
com/vuls/110265.
html2.
LastPass再曝多枚高危漏洞,用户账号信息存在被盗风险LastPass是全球最流行的云密码管理工具之一.
这款工具主打用户的互联网账号和密码管理,和1Pass很相似.
在PC端,用户可以使用LastPass提供的浏览器插件对自己的账号密码进行管理,在手机端则是APP.
来自GoogleProjectZero的研究人员TavisOrmandy目前发现了几个LastPass0day漏洞.
LastPass目前已经紧急修补了该漏洞,也没有公开漏洞细节.
这里有一些情况我们不得为知.
2016年7月27日,某位安全研究人员发现了一枚LastPass的命令执行漏洞.
LastPass在信息通讯的过程中,会对JS代码做一个可信验证.
LastPass目前已经修复该漏洞,并且发表声明称这个漏洞只会影响到火狐的LastPass插件.
参考链接:http://www.
freebuf.
com/news/110378.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999
- 漏洞zen-cart相关文档
- originalzen-cart
- vyplachovatzen-cart
- 样品zen-cart
- 重建zen-cart
- Ablagebdenzen-cart
- Louverzen-cart
Ceranetworks顶级合作伙伴 香港E3 16G 299元 香港E5 32G 650元 美国E3 16G 650元
提速啦(www.tisula.com)是赣州王成璟网络科技有限公司旗下云服务器品牌,目前拥有在籍员工40人左右,社保在籍员工30人+,是正规的国内拥有IDC ICP ISP CDN 云牌照资质商家,2018-2021年连续4年获得CTG机房顶级金牌代理商荣誉 2021年赣州市于都县创业大赛三等奖,2020年于都电子商务示范企业,2021年于都县电子商务融合推广大使。资源优势介绍:Ceranetwo...
pacificrack7月美国便宜支持win VPS,$19.99/年,2G内存/1核/50gSSD/1T流量
pacificrack发布了7月最新vps优惠,新款促销便宜vps采用的是魔方管理,也就是PR-M系列。提一下有意思的是这次支持Windows server 2003、2008R2、2012R2、2016、2019、Windows 7、Windows 10,当然啦,常规Linux系统是必不可少的!1Gbps带宽、KVM虚拟、纯SSD raid10、自家QN机房洛杉矶数据中心...支持PayPal、...
桔子数据58元/月 ,Cera美西云服务器 2核4G 50G数据盘 500M带宽 1000G流量
桔子数据(徐州铭联信息科技有限公司)成立于2020年,是国内领先的互联网业务平台服务提供商。公司专注为用户提供低价高性能云计算产品,致力于云计算应用的易用性开发,并引导云计算在国内普及。目前公司研发以及运营云服务基础设施服务平台(IaaS),面向全球客户提供基于云计算的IT解决方案与客户服务,拥有丰富的国内BGP、双线高防、香港等优质的IDC资源。 公司一直秉承”以人为本、客户为尊、永...
zen-cart为你推荐
-
accessdenied网页打开显示Access Denied,怎么解决prohibited禁止(过去式)英语怎么说?开启javascript如何启用JavaScript?360公司迁至天津奇虎360公司在哪?开放平台众安开放平台是干什么的?上面的众推广是什么?购物车通过自己的体会总结购物车的作用curl扩展如何增加mysqli扩展瑞东集团中粮集团主要生产什么的?是国企么oa办公软件价格一个oa系统多少钱免费代理加盟免费加盟代销怎么回事,能具体介绍下么