CNNVD最新漏洞（2017-01-11）

今日CNNVD共发布安全漏洞37个，更新安全漏洞4个。主要影响厂商为美国IBM（6个）、德国SAP（4个）、美国Intel（1个），主要影响产品为IBM Security Key Lifecycle Manager生命周期管理软件（3个）、SAP NetWeaver集成化应用平台（1个）、Intel Driver and Support Assistant在线支持功能软件（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】IBM Security Key Lifecycle Manager 安全漏洞

【漏洞编号】CNNVD-201801-322（CVE-2017-1666）

【漏洞详情】IBM Security Key Lifecycle Manager（前称Tivoli Key Lifecycle Manager）是美国IBM公司的一套密钥生命周期管理软件。该软件为存储设备提供密钥存储、密钥维护和密钥生命周期管理等功能。

IBM Security Key Lifecycle Manager 2.5版本至2.5.0.8版本、2.6版本至2.6.0.3版本和2.7版本至2.7.0.2版本中存在安全漏洞。远程攻击者利用该漏洞泄露敏感信息或消耗内存资源。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www-01.ibm.com/support/docview.wss?uid=swg22011970

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-322

【漏洞名称】SAP NetWeaver 安全漏洞

【漏洞编号】CNNVD-201801-344（CVE-2018-2363）

【漏洞详情】SAP NetWeaver是德国思爱普（SAP）公司的一套面向服务的集成化应用平台。该平台可为SAP应用提供开发和运行环境。

SAP NetWeaver中存在安全漏洞。攻击者可利用该漏洞执行任意的程序代码，从而控制系统或提升权限。以下版本受到影响：SAP NetWeaver 7.52版本，7.50版本,7.40版本,7.31版本,7.30版本,7.11版本,7.10版本,7.02版本,7.01版本,7.0版本。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.sap.com

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-344

【漏洞名称】Intel Driver and Support Assistant SEMA驱动程序安全漏洞

【漏洞编号】CNNVD-201801-328（CVE-2018-3610）

【漏洞详情】Intel Driver and Support Assistant是美国英特尔（Intel）公司的一套为英特尔产品提供驱动下载以及在线支持等功能的软件。SEMA driver是其中的一个SEMA驱动程序。

Intel Driver and Support Assistant 3.1.1之前版本中的SEMA驱动程序存在安全漏洞。本地攻击者可利用该漏洞读取并对Memory Status寄存器执行写入操作，获取信息或造成拒绝服务。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00108&languageid=en-fr

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-328

【漏洞名称】Adobe Flash Player 缓冲区错误漏洞

【漏洞编号】CNNVD-201801-327（CVE-2018-4871）

【漏洞详情】Adobe Flash Player是美国奥多比（Adobe）公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。

Adobe Flash Player 28.0.0.137之前的版本中存在越边界读取漏洞。攻击者可利用该漏洞获取敏感数据。以下版本受到影响：基于Windows和Macintosh平台的Adobe Flash Player Desktop Runtime 28.0.0.126及之前的版本，基于Windows、Macintosh、Linux和Chrome OS平台的Adobe Flash Player for Google Chrome 28.0.0.126及之前的版本，基于Windows 10和8.1平台的Adobe Flash Player for Microsoft Edge and Internet Explorer 11 28.0.0.126及之前的版本，基于Linux平台的Adobe Flash Player Desktop Runtime 28.0.0.126及之前的版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://helpx.adobe.com/security/products/flash-player/apsb18-01.html

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-327

【漏洞编号】CNNVD-201801-354（CVE-2012-3353）

【漏洞详情】Apache Sling JCR ContentLoader是美国阿帕奇（Apache）软件基金会的一套用于Java平台上的开源Web框架。该框架可在JCR内容库（Java Content Repository）上创建面向内容的应用。XmlReader是其中的一个XML文档阅读工具。

Apache Sling JCR ContentLoader 2.1.4版本中XmlReader存在安全漏洞。攻击者可利用该漏洞导出内容库中的任意文件（包括本地文件）。 

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://issues.apache.org/jira/browse/SLING-2512

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-354

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag