CNNVD最新漏洞（2018-02-05）

今日CNNVD共发布安全漏洞21个，更新安全漏洞8个。主要影响厂商为美国Puppet（2个）、美国Juniper Networks（1个）、美国Pivotal Software（1个），主要影响产品为Puppet配置管理工具（2个）、Pulse Secure Desktop Linux clients客户端软件（1个）、Pivotal Cloud Foundry cf-release云计算平台（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】Puppet Enterprise 安全漏洞

【漏洞编号】CNNVD-201802-002（CVE-2017-2296）

【漏洞详情】Puppet是美国Puppet实验室的一套基于客户端/服务器（C/S）架构的配置管理工具，它可用于管理配置文件、用户、cron任务、软件包、系统服务等。Puppet Enterprise是一个企业版。

Puppet Enterprise 2017.1.x版本和2017.2.1版本中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://puppet.com/security/cve/cve-2017-2296

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201802-002

【漏洞名称】Pulse Secure Desktop Linux clients GUI组件安全漏洞

【漏洞编号】CNNVD-201801-1115（CVE-2018-6374）

【漏洞详情】Pulse Secure Desktop Linux clients（前称Juniper Junos Pulse）是美国瞻博网络（Juniper Networks）公司的一套基于Linux平台的用于访问Juniper Pulse Secure网关的终端设备的客户端软件。GUI component（又名PulseUI）是其中的一个图形用户界面。

Pulse Secure Desktop Linux clients PULSE5.2R9.2之前版本和PULSE5.3R4.2之前的5.3.x版本中的GUI组件存在安全漏洞，该漏洞源于程序没有严格的执行SSL证书验证。目前尚无此漏洞的相关信息，请随时关注CNNVD或厂商公告。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA43620

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-1115

【漏洞名称】多款Pivotal产品安全漏洞

【漏洞编号】CNNVD-201802-004（CVE-2018-1192）

【漏洞详情】Pivotal Cloud Foundry cf-release等都是美国Pivotal Software公司的产品。Pivotal Cloud Foundry cf-release是一套开源的平台即服务（PaaS）云计算平台，它提供容器调度、持续交付和自动化服务部署等功能。UAA是PCF的一个身份验证和管理服务终端，UAA bosh releas是它的发布版本。

多款Pivotal产品中存在安全漏洞，该漏洞源于程序将SessionID记录到审核事件日志中。攻击者可通过使用SessionID利用该漏洞冒充登录的用户。以下产品和版本受到影响：Cloud Foundry cf-release 285之前版本；cf-deployment 1.7之前版本；UAA 4.5.5之前的4.5.x版本，4.8.3之前的4.8.x版本，4.7.4之前的4.7.x版本；UAA-release 45.7之前的45.7.x版本，52.7之前的52.7.x版本，53.3之前的53.3.x版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.cloudfoundry.org/blog/cve-2018-1192/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201802-004

【漏洞名称】Drupa Open Atrium模块OG Subgroups模块安全漏洞

【漏洞编号】CNNVD-201802-005（CVE-2014-9504）

【漏洞详情】Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Open Atrium module是基于Drupal平台的一个团队协作开发模块。OG Subgroups module是其中的一个OG子组模块。

Drupal Open Atrium模块7.x-2.26之前的7.x-2.x版本的OG Subgroups模块存在安全漏洞。远程攻击者可利用该漏洞访问‘儿童’组。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.drupal.org/node/2394979

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201802-005

【漏洞编号】CNNVD-201802-014（CVE-2018-0510）

【漏洞详情】epg search result viewer（kkcald）是一款电视节目搜索结果查看器。

epg search result viewer（kkcald）0.7.19及之前版本中存在缓冲区溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

http://dbit.web.fc2.com/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201802-014

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag