上周Apache产品被披露存在多个安全漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击等。此外,IBM、Cybozu、Google等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获得敏感信息、执行未授权操作、执行任意代码或发起拒绝服务攻击等。在上周高危漏洞列表中,值得注意的是ESC8832工业控制数据采集系统被披露存在权限绕过漏洞,该系统有可能通过前端Web服务暴露在互联网上,构成安全威胁。
上周漏洞基本情况
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞114个,其中高危漏洞12个、中危漏洞90个、低危漏洞12个。漏洞平均分值为5.23分。上周收录的漏洞中,涉及0day漏洞7个(占6%)。其中互联网上出现“PowerFolder远程代码执行漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1263个,与之前一周(1210个)环比增长4%。
上周重要漏洞信息
1、Apache产品安全漏洞
Apache Struts是一款用于创建企业级Java Web应用的开源框架。Apache PDFBox是美国阿帕奇(Apache)软件基金会的一个开源的、基于Java并提供创建新的PDF文档、修改现有的PDF文档等功能的工具库。Apache Qpid Java Broker是美国阿帕奇(Apache)软件基金会开发的一款使用Java语言编写的用于路由和转发邮件的消息中间件。上周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:Apache Struts2远程代码执行漏洞(CNVD-2016-03754)、ApachePDFBox XML外部实体漏洞、Apache Qpid Java Broker拒绝服务漏洞、ApacheQpid Java Broker身份验证绕过漏洞。其中,“ApacheStruts2远程代码执行漏洞(CNVD-2016-03754)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、IBM产品安全漏洞
IBM TRIRIGA Application Platform是美国IBM公司的一套用于部署TRIRIGA应用的技术平台。IBM WebSphereeXtreme Scale是美国IBM公司的一套分布式高速缓存解决方案。IBMUrbanCode Deploy(UCD)是美国IBM公司的一套应用自动化部署工具。上周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息和进行跨站脚本和跨站请求伪造攻击等。
CNVD收录的相关漏洞包括:IBM TRIRIGA Application Platform跨站脚本漏洞(CNVD-2016-03776)、IBMTRIRIGA Application Platform跨站请求伪造漏洞(CNVD-2016-03775)、IBMTRIRIGA Application Platform HTTP请求转发漏洞、IBM WebSphereeXtreme Scale HTTP响应拆分漏洞、IBMWebSphereeXtreme Scale信息泄露漏洞(CNVD-2016-03730)、IBMWebSphereDataPower XC10缓冲区溢出漏洞、IBM UrbanCode Deploy工件下载漏洞、IBMUrbanCode Deploy信息泄露漏洞(CNVD-2016-03733)。其中,“IBMTRIRIGA Application Platform跨站请求伪造漏洞(CNVD-2016-03775)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Cybozu产品安全漏洞
CybozuGaroon是日本才望子(Cybozu)公司的一套门户型OA办公系统。上周,该产品被披露存在多安全绕过、信息泄露、目录遍历、拒绝服务和跨站脚本漏洞,攻击者可利用漏洞获取敏感信息、执行未授权操作、进行跨站脚本和发起拒绝服务攻击。
CNVD收录的相关漏洞包括:CybozuGaroon安全绕过漏洞、CybozuGaroon安全绕过漏洞(CNVD-2016-03725)、CybozuGaroon目录遍历漏洞(CNVD-2016-03722、CNVD-2016-03721)、CybozuGaroon跨站脚本漏洞、CybozuGaroon跨站脚本漏洞(CNVD-2016-03716)、CybozuGaroon拒绝服务漏洞、CybozuGaroon信息泄露漏洞。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
4、Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Blink是美国谷歌(Google)公司和挪威欧朋(Opera Software)公司共同开发的一套浏览器排版引擎(渲染引擎)。Google V8是其中的一套开源JavaScript引擎。上周,上述产品被披露存在同源策略绕过和缓冲区溢出漏洞,攻击者可利用漏洞绕过同源策略,影响保密性、完整性和可用性。
CNVD收录的相关漏洞包括:Google Chrome同源策略绕过漏洞(CNVD-2016-03778、CNVD-2016-03781、CNVD-2016-03783)、GoogleChrome Blink同源策略绕过漏洞(CNVD-2016-03780、CNVD-2016-03782)、GoogleChrome V8缓冲区溢出漏洞、Google Chrome V8堆缓冲区溢出漏洞。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
5、PowerFolder远程代码执行漏洞
PowerFolder是文件同步和协作中主要的内部解决方案。上周,PowerFolder被披露存在远程代码执行漏洞。该漏洞源于允许反序列化不可信的数据,攻击者可利用漏洞执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。