CNNVD最新漏洞（2019-01-18）

今日CNNVD共发布安全漏洞137个，更新安全漏洞88个。主要影响厂商为美国Oracle（90个）、澳大利亚MailEnable（4个）、美国Microsoft（1个）。主要影响产品为Oracle Virtualization解决方案（27个）、MailEnable服务器（4个）、Microsoft Skype for Business Server企业沟通平台（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】Oracle Virtualization VM VirtualBox 安全漏洞

【漏洞编号】CNNVD-201901-643（CVE-2019-2446）

【漏洞详情】Oracle Virtualization是美国甲骨文（Oracle）公司的一套虚拟化解决方案。该方案用于统一管理从应用程序到磁盘的整个硬件和软件体系，可实现从桌面到数据中心的虚拟化。VM VirtualBox是其中的一个虚拟机组件。

Oracle Virtualization中的VM VirtualBox组件5.2.24之前版本和6.0.2之前版本的Core子组件存在安全漏洞。攻击者可利用该漏洞未授权访问数据，影响数据的保密性。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-643

【漏洞名称】MailEnable 路径遍历漏洞

【漏洞编号】CNNVD-201901-604（CVE-2015-9277）

【漏洞详情】MailEnable是澳大利亚MailEnable公司的一套POP3和SMTP邮件服务器。

MailEnable 8.60之前版本存在目录遍历漏洞，该漏洞源于程序错误地处理了‘/../’和‘/.. /’序列。攻击者可利用该漏洞读取用户信息，上传文件并删除文件。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www.mailenable.com/Standard-ReleaseNotes.txt

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-604

【漏洞名称】Microsoft Skype for Business Server 安全漏洞

【漏洞编号】CNNVD-201901-725（CVE-2019-0624）

【漏洞详情】Microsoft Skype for Business Server是美国微软（Microsoft）公司发布的一套企业整合沟通平台。该软件支持视频聊天、多人聊天和文件传送等功能。

Microsoft Skype for Business Server 2015 CU 8版本中存在安全漏洞，该漏洞源于程序没有正确地过滤特制的请求。攻击者可借助特制的URL利用该漏洞执行跨站脚本攻击，并在当前用户的安全上下文中运行脚本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0624

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-725

【漏洞名称】Huawei Honor V10、10和Play 竞争条件漏洞

【漏洞编号】CNNVD-201901-731（CVE-2019-5216）

【漏洞详情】Huawei Honor V10、10和Play都是中国华为（Huawei）公司的智能手机产品。

Huawei Honor V10、10和Play中的驱动程序存在竞争条件漏洞。攻击者可通过诱使用户安装恶意应用程序利用该漏洞执行恶意代码。以下产品和版本受到影响：Huawei Honor V10 Berkeley-AL20 9.0.0.156(C00E156R2P14T8)之前的版本；Huawei Honor 10 Columbia-AL10B 9.0.0.156(C00E156R1P20T8)之前的版本；Huawei Honor Play Cornell-AL00A 9.0.0.156(C00E156R1P13T8)之前的版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20190116-01-smartphone-cn

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-731

【漏洞名称】TIBCO Spotfire Analytics Platform for AWS Marketplace和TIBCO Spotfire Server 安全漏洞

【漏洞编号】CNNVD-201901-712（CVE-2018-18812）

【漏洞详情】TIBCO Spotfire Analytics Platform for AWS Marketplace和TIBCO Spotfire Server中的Spotfire Library组件存在安全漏洞，该漏洞源于程序没有限制只读权限用户修改存储在Spotfire库中的文件。攻击者可利用该漏洞修改文件，影响分析结果的完整性。以下产品和版本受到影响：TIBCO Spotfire Analytics Platform for AWS Marketplace 10.0.0及之前版本；TIBCO Spotfire Server 7.10.1及之前版本，7.11.0及之前版本，7.11.1及之前版本，7.12.0及之前版本，7.13.0及之前版本，7.14.0及之前版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.tibco.com/support/advisories/2019/01/tibco-security-advisory-january-16-2019-tibco-spotfire-2018-18812

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-712

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag