CNNVD最新漏洞（2018-01-24）

今日CNNVD共发布安全漏洞59个，更新安全漏洞1个。主要影响厂商为美国Microsoft（4个）、美国Red Hat（3个）、俄罗斯Yandex（3个），主要影响产品为Microsoft Office办公软件（4个）、Red Hat keycloak身份验证和管理功能软件（2个）、Yandex Browser浏览器（2个）。

今日需关注的典型漏洞如下:

【漏洞名称】Microsoft Office Equation Editor 安全漏洞

【漏洞编号】CNNVD-201801-840（CVE-2018-0862）

【漏洞详情】Microsoft Office 2003等都是美国微软（Microsoft）公司开发的一款办公软件套件产品。Equation Editor是其中的一个公式编辑器。

Microsoft Office中的Equation Editor存在远程代码执行漏洞，该漏洞源于程序没有正确的处理内存中的对象。远程攻击者可借助含有受影响Microsoft Office或Microsoft WordPad的特制文件利用该漏洞在当前用户的上下文中执行代码。以下版本受到影响：Microsoft Office 2003，Microsoft Office 2007 SP3，Microsoft Office 2010 SP2，Microsoft Office 2013 SP1，Microsoft Office 2016，Microsoft Word 2007 SP3，Microsoft Word 2010 SP2，Microsoft Word 2013 RT SP1，Microsoft Word 2016。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0862

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-840

【漏洞名称】Red Hat keycloak-httpd-client-install 安全漏洞

【漏洞编号】CNNVD-201801-814（CVE-2017-15112）

【漏洞详情】Red Hat keycloak是美国红帽（Red Hat）公司的一套为现代应用和服务提供身份验证和管理功能的软件。keycloak-httpd-client-install是其中的一个可执行安装工具。

Red Hat keycloak-httpd-client-install 0.8之前的版本存在安全漏洞，该漏洞源于程序使用命令行不安全的传递密码。攻击者可利用该漏洞获取密码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/jdennis/keycloak-httpd-client-install/commit/c3121b271abaaa1a76de2b9ae89dacde0105cd75

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-814

【漏洞名称】Yandex Browser installer for Desktop 安全漏洞

【漏洞编号】CNNVD-201801-818（CVE-2017-7327）

【漏洞详情】Yandex Browser是俄罗斯Yandex公司的一款浏览器。Yandex Browser installer for Desktop是它的桌面版的安装程序。

Yandex Browser installer for Desktop 17.4.1之前的版本中存在DLL劫持漏洞，该漏洞源于程序对dnsapi.dll文件、winmm.dll文件、ntmarta.dll文件、cryptbase.dll文件或profapi.dll文件使用了不安全的路径。目前尚无此漏洞的相关信息，请随时关注CNNVD或厂商公告。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://browser.yandex.com/security/changelogs/fixed-in-version-17-4

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-818

【漏洞名称】ISC DHCP 安全漏洞

【漏洞编号】CNNVD-201801-832（CNNVD-201801-832）

【漏洞详情】ISC DHCP是美国Internet Systems Consortium（ISC）公司的一套开源的动态主机配置协议服务器软件。

ISC DHCP 4.1.0版本至4.1-ESV-R15版本、4.2.0版本至4.2.8版本和4.3.0版本至4.3.6版本中存在远程拒绝服务漏洞。远程攻击者可利用该漏洞造成拒绝服务（资源耗尽）。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://kb.isc.org/article/AA-01541

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-832

【漏洞编号】CNNVD-201801-851（CVE-2018-6000）

【漏洞详情】ASUS AsusWRT是华硕（ASUS）公司的一套路由器操作系统。

ASUS AsusWRT 3.0.0.4.384_10007之前的版本中vpnupload.cgi文件的router/httpd/web.c文件的‘do_vpnupload_post’函数存在安全漏洞。攻击者可通过发送特制的请求利用该漏洞设置管理员密码，启动SSH守护进程（或打开infosvr命令模式），获取远程管理权限。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.asus.com

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-851

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag