今日CNNVD共发布安全漏洞73个,更新安全漏洞5个。主要影响厂商为美国Google(38个)、美国Oracle(8个)、澳大利亚Atlassian(1个)。主要影响产品为Android操作系统(38个)、Oracle WebCenter Interaction应用程序套件(8个)、Atlassian Crucible代码审查工具(1个)。
今日需关注的典型漏洞如下:
【漏洞名称】Android 缓冲区错误漏洞
【漏洞编号】CNNVD-201809-808(CVE-2018-11869)
【漏洞详情】Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。
Android中的‘wma_stats_ext_event_handler’函数存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码或造成拒绝服务。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.codeaurora.org/security-bulletin/2018/09/04/september-2018-code-aurora-security-bulletin
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-808
【漏洞名称】Oracle WebCenter Interaction Portal 安全漏洞
【漏洞编号】CNNVD-201809-854(CVE-2018-16959)
【漏洞详情】Oracle WebCenter Interaction是美国甲骨文(Oracle)公司的一套用于创建企业门户、协作社区、组合应用程序和社交应用程序的套件。Oracle WebCenter Interaction Portal是其中的一个管理界面。
Oracle WebCenter Interaction Portal 10.3.3版本中存在安全漏洞,该漏洞源于门户组件带有不安全的默认配置。攻击者可通过发送请求利用该漏洞检索所有门户用户的账户名称。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
http://www.oracle.com/
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-854
【漏洞名称】Atlassian Fisheye和Crucible 跨站请求伪造漏洞
【漏洞编号】CNNVD-201809-849(CVE-2018-13398)
【漏洞详情】Atlassian FishEye和Crucible都是澳大利亚Atlassian公司的产品。FishEye是一套源代码库深度查看软件。Crucible是一套代码审查工具。
Atlassian Fisheye和Crucible 4.5.4之前版本中的administrative smart-commits资源存在跨站请求伪造漏洞。远程攻击者可利用该漏洞修改smart-commit设置。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://jira.atlassian.com/browse/FE-7100
https://jira.atlassian.com/browse/CRUC-8312
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-849
【漏洞名称】McAfee Application and Change Control Microsoft Windows客户端存安全漏洞
【漏洞编号】CNNVD-201809-789(CVE-2018-6690)
【漏洞详情】McAfee Application and Change Control(CMCC)是美国迈克菲(McAfee)公司的一套程序管控软件。该软件通过使用动态的信任模型,保护企业的服务器和终端免受未经授权应用程序和恶意软件的威胁。Microsoft Windows client是它的一个基于Windows平台的客户端。
McAfee MACC 8.0.0 Hotfix 4及之前版本中的Microsoft Windows客户端存在安全漏洞。攻击者可通过从外部系统传输文件利用该漏洞执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kc.mcafee.com/corporate/index?page=content&id=SB10250
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-789
【漏洞名称】Accusoft PrizmDoc 跨站脚本漏洞
【漏洞编号】CNNVD-201809-798(CVE-2018-15546)
【漏洞详情】Accusoft PrizmDoc是美国Accusoft Pegasus Imaging公司的一款文档管理系统。该系统包括文档管理、文档查看和文档比较等功能。
Accusoft PrizmDoc 13.3及之前版本中存在跨站脚本漏洞。远程攻击者可借助特制的PDF文件利用该漏洞注入任意的Web脚本或HTML。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://help.accusoft.com/PrizmDoc/v13.4/ReleaseNotes/index.htm
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-798
新增漏洞信息如下表所示:
国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:
http://www.cnnvd.org.cn/web/vulnerability/querylist.tag
原文始发于微信公众号(CNNVD安全动态):CNNVD最新漏洞(2018-09-20)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论