正文

CNNVD最新漏洞(2018-01-26)

admin
admin V管理员 /0 评论 /448 阅读
0821
此篇文章发布距今已超过916天,您需要注意文章的内容或图片是否可用!

今日CNNVD共发布安全漏洞40个,更新安全漏洞12个。主要影响厂商为美国CloudBees(3个)、瑞典Haxx(2个)、德国Siemens(1个),主要影响产品为CloudBees Jenkins持续集成工具(3个)、Haxx libcurl客户端URL传输库(2个)、Siemens Desigo Automation Controllers Compact PXC12自动化监控系统(1个)。

今日需关注的典型漏洞如下:

【漏洞名称】CloudBees Jenkins 竞争条件漏洞

【漏洞编号】CNNVD-201801-899(CVE-2017-1000504)

【漏洞详情】CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。

CloudBees Jenkins 2.94及之前版本和2.89.1之前版本中存在竞争条件漏洞。攻击者可利用该漏洞造成命令执行顺序出错。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://jenkins.io/security/advisory/2017-12-14/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-899


【漏洞名称】Haxx libcurl 安全漏洞

【漏洞编号】CNNVD-201801-902(CVE-2018-1000007)

【漏洞详情】Haxx libcurl是瑞典Haxx公司的一个免费、开源的客户端URL传输库。该库支持FTP、FTPS、TFTP、HTTP等。

Haxx libcurl 7.1版本至7.57.0版本中存在安全漏洞。攻击者可利用该漏洞获取敏感信息或数据,冒充客户端请求。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://curl.haxx.se/docs/adv_2018-b3bf.html

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-902


【漏洞名称】多款Siemens产品安全漏洞

【漏洞编号】CNNVD-201801-911(CVE-2018-4834)

【漏洞详情】Siemens Desigo Automation Controllers Compact PXC12等是德国西门子(Siemens)公司的楼宇自动化监控系统。

多款Siemens产品中存在安全漏洞。远程攻击者可利用该漏洞向设备上传新的固件图片。以下产品和版本受到影响:Siemens Desigo Automation Controllers Compact PXC12/22/36-E.D 6.00.204之前的版本;Desigo Automation Controllers Modular PXC00/50/100/200-E.D 6.00.204之前的版本;Desigo Automation Controllers PXC00/64/128-U with Web module 6.00.204之前的版本;Desigo Automation Controllers for Integration PXC001-E.D 6.00.204之前的版本;Desigo Operator Unit PXM20-E 6.00.204之前的版本。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-824231.pdf

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-911


【漏洞名称】IBM Business Process Manager 跨站请求伪造漏洞

【漏洞编号】CNNVD-201801-921(CVE-2017-1769)

【漏洞详情】IBM Business Process Manager(BPM)是美国IBM公司的一套综合的业务流程管理平台。该平台为业务的流程建模、组装、监控和部署提供了一系列的相关工具。

IBM BPM 8.6版本中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行恶意的操作。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接

http://www-01.ibm.com/support/docview.wss?uid=swg22011579

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-921


【漏洞名称】Linux kernel 安全漏洞

【漏洞编号】CNNVD-201801-935(CVE-2017-18075)

【漏洞详情】Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。

Linux kernel 4.14.13之前版本中的crypto/pcrypt.c文件存在安全漏洞,该漏洞源于程序没有正确的处理实例的释放。本地攻击者可借助特制序列的系统调用利用该漏洞访问AF_ALG-based AEAD界面和pcrypt,造成拒绝服务。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接

https://github.com/torvalds/linux/commit/d76c68109f37cb85b243a1cf0f40313afd2bae68

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-935


新增漏洞信息如下表所示:

国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag


CNNVD最新漏洞(2018-01-26)


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网