今日CNNVD共发布安全漏洞49个。主要影响厂商为中国福昕(14个)、美国IBM(6个)、美国F5(1个)。主要影响产品为Foxit Reader阅读器(7个)、IBM Security Key Lifecycle Manager管理软件(6个)、F5 BIG-IP网络设备(1个)。
今日需关注的典型漏洞如下:
【漏洞名称】Foxit Reader和Foxit PhantomPDF JavaScript引擎安全漏洞
【漏洞编号】CNNVD-201810-263(CVE-2018-16291)
【漏洞详情】Foxit Reader是中国福昕(Foxit)软件公司的一款PDF文档阅读器。Foxit PhantomPDF是一个商业版。JavaScript engine是其中的一个JavaScript脚本引擎。
Foxit Reader 9.2.0.9297及之前版本和Foxit PhantomPDF 9.2.0.9297及之前版本中的JavaScript引擎存在释放后重用漏洞。远程攻击者可借助特制的PDF文档利用该漏洞执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.foxitsoftware.com/support/security-bulletins.php
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-263
【漏洞名称】IBM Security Key Lifecycle Manager 安全漏洞
【漏洞编号】CNNVD-201810-253(CVE-2018-1741)
【漏洞详情】IBM Security Key Lifecycle Manager(前称Tivoli Key Lifecycle Manager)是美国IBM公司的一套密钥生命周期管理软件。该软件为存储设备提供密钥存储、密钥维护和密钥生命周期管理等功能。
IBM Security Key Lifecycle Manager中存在安全漏洞,该漏洞源于程序未能妥当限制交互的次数和频率。攻击者可利用该漏洞造成拒绝服务并影响程序逻辑。以下版本受到影响:IBM Security Key Lifecycle Manager 2.6版本至2.6.0.4版本,2.7版本至2.7.0.3版本,3.0版本至3.0.0.1版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.ibm.com/support/docview.wss?uid=ibm10733425
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-253
【漏洞名称】F5 BIG-IP 安全漏洞
【漏洞编号】CNNVD-201810-288(CVE-2016-7475)
【漏洞详情】F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的多合一网络设备。
F5 BIG-IP中存在安全漏洞,该漏洞源于在使用SPDY或HTTP/2虚拟服务器配置时Traffic Management Microkernel (TMM)未能妥当地清理pool member网络连接。攻击者可利用该漏洞造成服务中断。以下版本受到影响:F5 BIG-IP 12.0.0版本至12.1.0版本,11.6.0版本至11.6.1版本,11.4.0版本至11.5.4 HF1版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.f5.com/csp/article/K01587042
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-288
【漏洞名称】D-Link Central WiFi Manager 安全漏洞
【漏洞编号】CNNVD-201810-271(CVE-2018-17440)
【漏洞详情】D-Link Central WiFi Manager是友讯(D-Link)公司的一套WiFi管理系统。
D-Link Central WiFi Manager 1.03r0100-Beta1之前版本中存在安全漏洞。远程攻击者可通过在web根目录中上传任意文件并通过发送请求访问该文件利用该漏洞执行任意PHP代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10092
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-271
【漏洞名称】Net-SNMP 安全漏洞
【漏洞编号】CNNVD-201810-286(CVE-2018-18065)
【漏洞详情】Net-SNMP是一套开源的简单网络管理协议(Simple Network Management Protocol)软件。该软件用于监控网络设备、电脑设备、UPS设备等。
Net-SNMP 5.8之前版本中的agent/helpers/table_container.c文件的‘_set_key’函数存在安全漏洞。远程攻击者可借助特制的UDP数据包利用该漏洞造成拒绝服务(空指针异常)。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://sourceforge.net/p/net-snmp/code/ci/7ffb8e25a0db851953155de91f0170e9bf8c457d/
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-286
新增漏洞信息如下表所示:
国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:
http://www.cnnvd.org.cn/web/vulnerability/querylist.tag
原文始发于微信公众号(CNNVD安全动态):CNNVD最新漏洞(2018-10-10)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论