VenusTech 2015年11月之TOP 10安全漏洞
发布时间:2015-11-30   录入:启明星辰

2015年11月安全漏洞总结

 

I. 本月重要安全漏洞

 

----------------------------

 

1. Redis未授权访问漏洞

 

2. Microsoft 11月安全公告修复多个安全漏洞

 

3. vBulletin 5.x.x ajax/api远程代码执行漏洞

 

4. Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞

 

5. Android上的Google Chrome Javascript处理任意代码执行漏洞

 

6. libpng png_set_PLTE()和png_get_PLTE()缓冲区溢出漏洞

 

7. CloudBees Jenkins CI CVE-2015-8103远程代码执行漏洞

 

8. Adobe Acrobat Reader DC CVE-2015-7650远程代码执行漏洞

 

9. Adobe Flash Player 19.0.0.226存在多个释放后使用任意代码执行漏洞

 

10.Lenovo System Update CVE-2015-7336签名绕过漏洞

 

 

1. Redis未授权访问漏洞

 

CVE ID:

 

发布日期:2015-11-13

更新日期:2015-11-13

 

受影响系统:

 

Redis

 

描述:

 

Redis默认情况下会开启6379端口,在未开启认证的情况下,可导致任意用户在可以访问目标服务器的情况下未授权访问Redis,通过将自己的公钥写入目标服务器 /root/.ssh 文件夹的authotrized_keys文件中,进而可以直接登录目标服务器。

 

相关链接:

 

https://www.sebug.net/vuldb/ssvid-89715

 

2. Microsoft 11月安全公告修复多个安全漏洞

 

CVE ID:

 

发布日期:2015-11-10

更新日期:2015-11-10

 

受影响系统:

 

Microsoft Windows

Microsoft Internet Explorer

Microsoft Office

Microsoft Office Services

Microsoft Skype

Microsoft Lync

Microsoft Web Apps

Microsoft .NET Framework

 

描述:

 

微软发布了11月份的月度例行安全公告,共含12项更新,修复了Microsoft Windows、Explorer、Edge、Office、Office Services、Skype、Lync、 Web Apps和.NETFramework中存在的53个安全漏洞。

 

相关链接:

 

https://technet.microsoft.com/zh-CN/library/security/ms15-nov.aspx

 

3. vBulletin 5.x.x ajax/api 远程代码执行漏洞

 

CVE(CAN) ID:

 

发布日期:2015-11-05

更新日期:2015-11-05

 

受影响系统:

 

vBulletin Solutions vBulletin 5.1.4-5.1.9

 

描述:

 

 

vBulletin decodeArguments Ajax API处理用户输入存在安全漏洞,允许攻击者利用漏洞提交特殊的请求执行任意PHP代码,执行系统命令获取服务器权限。

 

相关链接:

 

https://blog.sucuri.net/2015/11/vbulletin-exploits-in-the-wild.html

 

4. Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞

 

CVE ID:

 

发布日期:2015-11-10

更新日期:2015-11-10

 

受影响系统:

 

Apache Commons Components

 

描述:

 

Apache Commons Components InvokerTransformer反序列化存在安全漏洞,允许远程用户发送特殊的数据给应用程序或使用或包含Java 'InvokerTransformer.class'序列化数据的应用服务器,可在目标系统上执行任意代码。

 

反序列化不可信Java对象的应用受影响。

使用Groovy, Spring的应用受影响。

WebLogic, WebSphere, JBoss应用服务器受影响。

 

相关链接:

 

https://issues.apache.org/jira/browse/COLLECTIONS-580

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#commons

 

5. Android上的Google Chrome Javascript处理任意代码执行漏洞

 

CVE ID:

 

发布日期:2015-11-13

更新日期:2015-11-13

 

受影响系统:

 

Android上的Google Chrome

 

描述:

 

Android上的Google Chrome avaScript v8存在安全漏洞,允许远程攻击者利用漏洞构建恶意WEB页诱使用户解析,可以应用程序上下文执行任意代码。

 

相关链接:

 

http://www.securitytracker.com/id/1034155

 

6. libpng png_set_PLTE()和png_get_PLTE()缓冲区溢出漏洞

 

CVE(CAN) ID: CVE-2015-8126

 

发布日期:2015-11-13

更新日期:2015-11-13

 

受影响系统:

 

libpng < 1.0.64

libpng < 1.2.54

libpng < 1.4.17

libpng < 1.5.24

libpng < 1.6.19

 

描述:

 

libpng png_set_PLTE()和png_get_PLTE()函数存在缓冲区溢出漏洞,允许攻击者构建恶意特殊的PNG文件,诱使应用解析,可使应用程序崩溃或执行任意代码。

 

相关链接:

 

http://www.openwall.com/lists/oss-security/2015/11/12/2

 

7. CloudBees Jenkins CI CVE-2015-8103远程代码执行漏洞

 

CVE ID:CVE-2015-8103

 

发布日期:2015-11-18

更新日期:2015-11-18

 

受影响系统:

 

Jenkins <= LTS 1.625.1

Jenkins <= 1.637

 

描述:

 

Jenkins存在不安全的反序列化漏洞,允许远程攻击者提交特殊的请求以应用程序上下文执行任意代码。

 

相关链接:

 

https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-11-11

 

8. Adobe Acrobat Reader DC CVE-2015-7650远程代码执行漏洞

 

CVE(CAN) ID:CVE-2015-7650

 

发布日期:2015-10-13

更新日期:2015-10-13

 

受影响系统:

 

Adobe Acrobat Reader DC

 

描述:

 

Adobe Acrobat Reader DC没有正确解析CMAP表单,允许远程攻击者可构建包含CMAP表单的PDF文件,诱使应用解析,可使应用程序崩溃或执行任意代码。

 

相关链接:

 

https://helpx.adobe.com/security/products/acrobat/apsb15-24.html

 

 

9. Adobe Flash Player 19.0.0.226存在多个释放后使用任意代码执行漏洞

 

CVE ID:

 

发布日期:2015-11-10

更新日期:2015-11-10

 

受影响系统:

 

Adobe Flash Player 19.0.0.226

 

描述:

 

Adobe Flash Player 19.0.0.226存在多个释放后使用任意代码执行漏洞,允许攻击者构建恶意SWF内容,诱使用户解析,使应用程序崩溃或执行任意代码。

 

相关链接:

 

https://helpx.adobe.com/security/products/flash-player/apsb15-28.html

 

10. Lenovo System Update CVE-2015-7336签名绕过漏洞

 

CVE ID:

 

发布日期:2015-11-07

更新日期:2015-11-07

 

受影响系统:

 

Lenovo System Update 5.07.0008

 

描述:

 

Lenovo System Update在创建命名管道时存在安全漏洞,允许攻击者绕过管道客户端身份签名验证,并向管道发送任意命令。

 

相关链接:

 

https://download.lenovo.com/pccbbs/thinkvantage_en/systemupdate507-2015-09-29.exe

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号