国家信息安全漏洞共享平台(CNVD) 信息安全漏洞周报
2010 年 8 月 9 日-2010 年 8 月 15 日 2010年第31期
本周漏洞基本情况
本周信息安全漏洞威胁整体评价级别为中. 国家信息安全漏洞共享平台 (以下简称 CNVD) 本周共收集, 整理信息安全漏洞 90 个, 其中高危漏洞 14 个,中危漏洞 22 个,低危漏 54 个.上述漏洞中,可利用来实施远程攻击 的漏洞有 72 个.经检测发现,网上已经出现针对"Lynx 浏览器'convert_to_idna ( )'函数 远程堆缓冲区溢出漏洞"的零日攻击代码,请相关用户注意做好相关防护措施.目前,有 关厂商已针对 61 个漏洞提出了修补方案,建议用户及时下载补丁更新程序,避免遭受网络 攻击.
本周重要的漏洞信息
本周,CNVD 整理和发布以下重要漏洞信息. 1,Adobe 多款产品存在安全漏洞 Adobe的Flash Media Server,Flash Player/AIR和ColdFusion等多款产品存在安全漏洞, 攻击者可利用这些漏洞进行拒绝服务攻击或以应用程序权限执行特定代码.具体漏洞信 息为:Adobe Flash Media Server 存在可导致拒绝服务攻击的输入验证漏洞,Adobe Flash Media Server存在可导致拒绝服务攻击的内存耗竭漏洞, Adobe Flash Media ServerJS方法存 可导致任意代码执行的漏洞, Adobe Flash Media Server JS方法存可导致拒绝服务攻击的漏 洞,Adobe Flash Player 10.1.53.64/AIR 2.0.2.12610存在可导致点击劫持攻击的漏洞,Adobe Flash Player 10.1.53.64/AIR 2.0.2.12610存在多个内存破坏漏洞,Adobe Flash Player 10.1.53.64/AIR 2.0.2.12610存在未明内存破坏漏洞,Adobe ColdFusion 未明目录遍历漏洞. 目前Adobe已经发布补丁程序修复上述安全漏洞,建议相关用户尽快下载使用. 参考链接:http://www.cnvd.org.cn/vulnerability/CNVD-2010-01622 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01621 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01620 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01619 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01618
国家信息安全漏洞共享平台
第 1 页
2010-8-19
http://www.cnvd.org.cn/vulnerability/CNVD-2010-01617 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01616 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01610 2,Cisco ACE 和 WCS 存在多个安全漏洞 Cisco 应用控制引擎 (ACE) 是一套负载均衡和应用交付产品组合的解决方案, Cisco 无 线控制系统(WCS)是支持高性能应用程序和关键任务的解决方案.这两款产品存在多个 安全漏洞,攻击者可利用漏洞执行拒绝服务攻击.具体漏洞包括:Cisco ACE 4710 HTTP, RTSP 和 SIP 检测存在拒绝服务漏洞, Cisco ACE 模块和引擎 RTSP 检测存在拒绝服务漏洞, Cisco ACE 模块和引擎 SIP 检测存在拒绝服务漏洞,Cisco Wireless Control System (WCS)存 在未明 SQL 注入漏洞,Cisco ACE 应用控制引擎模块 SSL 处理存在拒绝服务漏洞.目前 Cisco 已经发布安全公告(cisco-sa-20100811-wcs)修复上述安全漏洞,建议相关用户尽快 下载更新. 参考链接:http://www.cnvd.org.cn/vulnerability/CNVD-2010-01638 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01637 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01636 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01635 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01632 3,Mozilla Bugzilla存在多个安全漏洞 Mozilla Bugzilla是一款基于Web的BUG跟踪系统.Mozilla Bugzilla存在多个安全漏洞, 攻击者可利用漏洞执行拒绝服务攻击.具体漏洞包括:Bugzilla的"sudo"功能存在漏洞, Bugzilla处理Bug评注时存在漏洞,Bugzilla的"Reports"和"Duplicates"页存在漏洞,Bugzilla 布尔图标搜索接口存在漏洞.目前Buzilla 3.2.8, 3.4.8,3.6.2和3.7.3版本已经修复上述安 全漏洞,建议相关用户尽快下载使用. 参考链接:http://www.cnvd.org.cn/vulnerability/CNVD-2010-01565 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01564 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01562 http://www.cnvd.org.cn/vulnerability/CNVD-2010-01560 4,Foxit Reader 存在 FreeType2 CFF 字体解析漏洞 Foxit Reader(福昕阅读器)是一款PDF文档阅读器.Foxit Reader使用FreeType2代码解 析CFF字体某些操作码时存在错误,攻击者可通过诱使用户打开经特殊构建的PDF文件, 以应用程序权限执行任意指令.目前Foxit Reader 4.1.1已经修复该漏洞,建议相关用户尽快 下载使用. 参考链接:http://www.cnvd.org.cn/vulnerability/CNVD-2010-01575 小结:本周,Adobe 和 Cisco 多款产品,Mozilla BUG 跟踪系统,福昕阅读器均曝出 安全漏洞.这些漏洞可被攻击者利用实施远程或本地网络攻击,对国内相关用户的信息安

下一页