CNNVD最新漏洞(2017-05-03)

CNNVD中国国家信息安全漏洞库,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。
昨日CNNVD共发布安全漏洞61个,更新安全漏洞59个。主要影响厂商为美国ImageMagick Studio(15个)、美国Trend Micro(10个)、中国Lenovo(2个),主要影响产品为ImageMagick(15个)、Trend Micro Threat Discovery Appliance(TDA)(10个)、System Update(2个)。
需关注的典型漏洞如下:
【漏洞名称】Google gRPC 安全漏洞
【漏洞编号】CNNVD-201705-054(CVE-2017-8359)
【漏洞详情】Google gRPC是美国谷歌(Google)公司开发的一个面向移动和HTTP/2设计的开源、通用的RPC框架,具有双向流、流控、头部压缩、单TCP连接上的多复用请求等特点。
Google gRPC 2017-03-29之前的版本中的core/lib/surface/call.c文件中的‘grpc_call_destroy’函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务(越边界写入)。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/grpc/grpc/pull/10353
【漏洞链接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017050054
【漏洞名称】ImageMagick 安全漏洞
【漏洞编号】CNNVD-201705-070(CVE-2017-8343)
【漏洞详情】ImageMagick是美国ImageMagick Studio公司的一套开源的图象处理软件。该软件可读取、转换、写入多种格式的图片。
ImageMagick 7.0.5-5版本中的aai.c文件中的‘ReadAAIImage’函数存在安全漏洞。攻击者可借助特制的文件利用该漏洞造成拒绝服务(内存泄露)。
针对一线员工的职业卫生安全管理体系培训教程

漏洞被利用,wordpress插件Fancybox零日打补丁

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
http://www.imagemagick.org
【漏洞链接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017050070
【相关漏洞链接】
关于ImageMagick漏洞情况的通报
【漏洞名称】Trend Micro Threat Discovery Appliance 安全漏洞
【漏洞编号】CNNVD-201705-089(CVE-2016-8584)
【漏洞详情】Trend Micro Threat Discovery Appliance(TDA)是美国趋势科技(Trend Micro)公司的一款集成云安全技术的威胁发现设备。该设备提供网络层恶意活动的检测、威胁管理服务以及威胁分析和报表等功能。
Trend Micro TDA 2.6.1062r1及之前的版本中存在安全漏洞,该漏洞源于程序使用可预测的会话值。远程攻击者可利用该漏洞绕过身份验证。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.trendmicro.com
公司被黑的结果是经钱损失巨大,形象受损,恢复艰难,惨痛的教训很值得我们吸取。
【漏洞链接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017050089
【漏洞名称】联想System Update 权限许可和访问控制漏洞
【漏洞编号】CNNVD-201704-1366(CVE-2015-8109)
【漏洞详情】联想System Update(前称ThinkVantage System Update)是中国联想(Lenovo)公司的一套系统自动更新工具,它包括设备驱动更新、Windows系统补丁更新等。
联想System Update 5.07.0019之前的版本存在提权漏洞。本地攻击可利用该漏洞获取权限。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://support.lenovo.com/us/en/product_security/lsu_privilege
【漏洞链接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017041366
【漏洞名称】IBMWebSphere Application Server 跨站请求伪造漏洞
【漏洞编号】CNNVD-201705-091(CVE-2017-1194)
【漏洞详情】IBM WebSphere Application Server(WAS)是美国IBM公司开发并发行的一款应用服务器产品,它是Java EE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。

宁夏网络与信息安全协会成立

IBM WAS中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行恶意的操作。以下版本受到影响:IBM WebSphere Application Server 7.0、8.0、8.5、9.0版本。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg22001226
【漏洞链接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2017050091
新增漏洞信息如下表所示:
国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:
http://www.cnnvd.org.cn/vulnerability
-END-
中心介绍
ABOUT

建筑安全与设备管理研究联谊会成立 创互联网+安全管理新模式




中国信息安全测评中心华中测评中心是国家信息安全权威测评机构,负责信息技术产品和系统的安全漏洞分析与信息通报,及党政机关信息网络、重要信息系统的安全风险评估,作为国家信息安全专控队伍,提供重大事件应急响应。
华中测评中心自2001年成立以来,建立了漏洞基础研究、信息系统安全评估、产品安全检测、系统隐患分析、网络系统安全监控等专业技术平台和技术服务部门,面向党政机关、国企事业单位开展信息安全测评、风险评估、监测预警和应急响应等各项服务。
近年来,华中测评中心秉承着“技术产品化、产品标准化、服务平台化、平台流程化”的工作理念,积极与全国多家单位开展合作,服务范围与品牌影响力不断扩大,已逐步成为国家信息安全保障体系中的重要基础设施之一。
长按二维码向我转账
受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
微信扫一扫关注该公众号

信息安全不能完全依赖某一项控制措施,想要获得适当的安全保障,我们需要多层防御体系,这些防御体系所包含的控制措施还要简单易用,以便用户理解和接受,所以我们加强了防御体系中人员安全意识培训的环节。

猜您喜欢

5月1日起一批新的法律法规将影响我们的生活
互联网金融移动APP与虚假WIFI的信息安全教训
全民国家安全教育-海外安全防间谍
美日秘密监控亚太60年中国成为监控“重点”
DI-MAGINATION ANGELSPLUS
网络安全公益短片小心披露您的地理位置信息