今日CNNVD共发布安全漏洞61个,更新安全漏洞12个。主要影响厂商为美国Apple(29个)、美国CloudBees(5个)、美国Adobe(3个)。主要影响产品为Apple iOS操作系统(9个)、CloudBees Jenkins集成工具(5个)、Dell Networking OS10操作系统(1个)。今日需关注的典型漏洞如下:【漏洞名称】Apple iOS、tvOS和macOS libxpc 安全漏洞【漏洞编号】CNNVD-201901-835(CVE-2019-6218)【漏洞详情】Apple iOS、tvOS和macOS都是美国苹果(Apple)公司的产品。Apple iOS是为移动设备所开发的一套操作系统;tvOS是一套智能电视操作系统;macOS是一套专为Mac计算机所开发的专用操作系统。libxpc是其中的一个Apple XPC库的开源实现。Apple iOS、tvOS和macOS中的libxpc组件存在安全漏洞。攻击者可借助恶意的应用程序利用该漏洞以内核权限执行任意代码(内存损坏)。以下产品和版本受到影响:Apple iOS 12.1.3之前版本;tvOS 12.1.2之前版本;macOS Sierra 10.12.6版本,macOS High Sierra 10.13.6版本,macOS Mojave 10.14.2版本。目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://support.apple.com/zh-cn/HT209443https://support.apple.com/zh-cn/HT209446https://support.apple.com/zh-cn/HT209447【漏洞链接】http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-835【漏洞名称】CloudBees Script Security Plugin 安全漏洞【漏洞编号】CNNVD-201901-777(CVE-2019-1003000)【漏洞详情】CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,该工具主要用于监控秩序重复的工作。Script Security是其中的一个用于检测脚本安全性的插件。CloudBees Script Security Plugin 2.49及之前版本中的 src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.jav文件存在安全漏洞。攻击者可利用该漏洞在Jenkins master JVM上执行任意代码。目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://jenkins.io/security/advisory/2019-01-08/#SECURITY-1266【漏洞链接】http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-777【漏洞名称】Adobe Experience Manager 跨站脚本漏洞【漏洞编号】CNNVD-201901-830(CVE-2018-19727)【漏洞详情】Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe AEM 6.3版本和6.4版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞泄露敏感信息。目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://helpx.adobe.com/security/products/experience-manager/apsb19-09.html【漏洞链接】http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-830【漏洞名称】Apache HTTP Server 安全漏洞【漏洞编号】CNNVD-201901-833(CVE-2019-0190)【漏洞详情】Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache HTTP Server 2.4.37版本(使用OpenSSL 1.1.1及之后版本)的httpd中mod_ssl对客户端重导航的处理存在安全。远程攻击者可通过发送特制的请求利用该漏洞造成拒绝服务。目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://httpd.apache.org【漏洞链接】http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-833【漏洞名称】Fortinet FortiOS 访问控制错误漏洞【漏洞编号】CNNVD-201901-776(CVE-2018-13374)【漏洞详情】Fortinet FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSL VPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiOS 6.0.0版本至6.0.2之前版本和5.6.7及之前版本中存在访问控制错误漏洞。攻击者可通过将LDAP服务器连接测试请求指向恶意的LDAP服务器利用该漏洞获取FortiGate中所配置的LDAP服务器登录凭证。目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://fortiguard.com/psirt/FG-IR-18-157【漏洞链接】http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-776新增漏洞信息如下表所示:国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:http://www.cnnvd.org.cn/web/vulnerability/querylist.tag
还没有评论,来说两句吧...