CNNVD最新漏洞（2018-01-31）

今日CNNVD共发布安全漏洞29个，更新安全漏洞12个。主要影响厂商为美国IBM（4个）、美国CloudBees（2个）、美国Cisco（1个），主要影响产品为IBM Content Navigator Web客户机（3个）、CloudBees Jenkins集成工具（2个）、Cisco 3000 Series Industrial Security Appliances（ISR）防火墙设备（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】IBM Content Navigator 安全漏洞

【漏洞编号】CNNVD-201801-1060（CVE-2018-1364）

【漏洞详情】IBM Content Navigator是美国IBM公司的一款Web客户机，它支持从Web浏览器搜索和处理存储在世界各地的内容服务器中的文档。

IBM Content Navigator 2.0.3版本、3.0.2版本和3.0.3版本中存在XML外部实体注入漏洞。远程攻击者可利用该漏洞泄露敏感信息或消耗内存资源。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www-01.ibm.com/support/docview.wss?uid=swg22012595

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-1060

【漏洞名称】CloudBees Jenkins Build-Publisher 安全漏洞

【漏洞编号】CNNVD-201801-1042（CVE-2017-1000387）

【漏洞详情】CloudBees Jenkins（前称Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具，它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Build-Publisher是使用在其中的一个Jenkins记录发布插件。

CloudBees Jenkins Build-Publisher 1.21及之前版本中存在安全漏洞，该漏洞源于程序并没有加密储存在hudson.plugins.build_publisher.BuildPublisher.xml文件中的证书，并且以明文的形式传递证书。攻击者可利用该漏洞获取证书。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://jenkins.io/security/advisory/2017-10-23/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-1042

【漏洞名称】多款Cisco产品Adaptive Security Appliance Software 安全漏洞

【漏洞编号】CNNVD-201801-1049（CVE-2018-0101）

【漏洞详情】Cisco 3000 Series Industrial Security Appliances（ISR）等都是美国思科（Cisco）公司的安全防火墙设备。Adaptive Security Appliance（ASA）Software是使用在其中的一套防火墙软件。

多款Cisco产品中的ASA Software的Secure Sockets Layer (SSL) VPN功能存在安全漏洞。远程攻击者可通过向配置有webvpn的界面发送特制的XML数据包利用该漏洞造成拒绝服务（重新加载）或执行代码。以下产品受到影响：Cisco 3000 Series Industrial Security Appliance (ISA)；ASA 5500 Series Adaptive Security Appliances；ASA 5500-X Series Next-Generation Firewalls；ASA Services Module for Cisco Catalyst 6500 Series Switches和Cisco 7600 Series Routers；ASA 1000V Cloud Firewall；Adaptive Security Virtual Appliance (ASAv)；Firepower 2100 Series Security Appliance；Firepower 4110 Security Appliance；Firepower 9300 ASA Security Module；Firepower Threat Defense Software (FTD)。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg35618

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-1049

【漏洞名称】Apsis Pound 安全漏洞

【漏洞编号】CNNVD-201801-1050（CVE-2016-10711）

【漏洞详情】Apsis Pound是瑞士Apsis公司的一套向代理服务器软件。

Apsis Pound 2.8a之前版本中存在安全漏洞。攻击者可借助特制的包头利用该漏洞实施走私请求攻击。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www.apsis.ch/pound/pound_list/archive/2016/2016-10/1477235279000

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-1050

【漏洞编号】CNNVD-201801-1070（CVE-2017-18079）

【漏洞详情】Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。

Linux kernel 4.12.4之前版本中的drivers/input/serio/i8042.c文件存在安全漏洞，该漏洞源于port->exists值被验证之后仍可被更改。攻击者可利用该漏洞造成拒绝服务（空指针逆向引用和系统崩溃）。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=340d394a789518018f834ff70f7534fc463d3226

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-1070

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag