VenusTech 2015年12月之TOP 10安全漏洞
发布时间:2016-01-04   录入:启明星辰

2015年12月安全漏洞总结

 

I. 本月重要安全漏洞

 

----------------------------

 

1. Juniper Networks Screen OS远程未授权访问漏洞

 

2. Microsoft 12月安全公告修复多个安全漏洞

 

3. Juniper Networks Screen OS VPN信息解密漏洞

 

4. 多款Vmware产品任意命令执行漏洞

 

5. Adobe Flash Player CVE-2015-8651整数溢出代码执行漏洞

 

6. 多个思科产品Java反序列化漏洞

 

7. Joomla! CVE-2015-8103远程代码执行漏洞

 

8. Grub2 CVE-2015-8370整数溢出漏洞

 

9. UPnP协议libupnp函数库缓冲区溢出漏洞

 

10.Kerberos网络认证协议存在认证绕过漏洞

 

 

1. Juniper Networks Screen OS远程未授权访问漏洞

 

CVE ID:CVE-2015-7755

 

发布日期:2015-12-17

更新日期:2015-12-17

 

受影响系统:

 

Juniper Networks ScreenOS 6.2.0r15—6.2.0r18

Juniper Networks ScreenOS 6.3.0r12—6.3.0r20

 

描述:

 

Juniper Networks Screen OS存在后门账户漏洞,允许远程攻击者利用漏洞以管理员权限访问SSH或Telnet服务,完全控制设备。

 

相关链接:

 

http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713

 

2. Microsoft 11月安全公告修复多个安全漏洞

 

CVE ID:

 

发布日期:2015-12-12

更新日期:2015-12-12

 

受影响系统:

 

Microsoft Windows

Microsoft Internet Explorer

Microsoft Office

Microsoft Office Services

Microsoft Edge

Microsoft Lync

Microsoft Silverlight

Microsoft .NET Framework

Microsoft Edge

 

描述:

 

微软发布了12月份的月度例行安全公告,共含12项更新,修复了MicrosoftWindows、Internet Explorer、Edge、.NET Framework、Office、Skype for Business、Lync和Silverlight中存在的71个安全漏洞。

 

相关链接:

 

https://technet.microsoft.com/zh-CN/library/security/ms15-dec.aspx

 

3. Juniper Networks Screen OS VPN信息解密漏洞

 

CVE(CAN) ID:CVE-2015-7756

 

发布日期:2015-12-17

更新日期:2015-12-17

 

受影响系统:

 

Juniper Networks ScreenOS 6.2.0r15—6.2.0r18

Juniper Networks ScreenOS 6.3.0r12—6.3.0r20

 

描述:

 

 

Juniper Networks Screen OS存在未明安全漏洞,允许远程攻击者利用漏洞可监视VPN通信,解密通信获取敏感信息。

 

相关链接:

 

http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713

 

4. 多款Vmware产品任意命令执行漏洞

 

CVE ID:CVE-2015-6934

 

发布日期:2015-12-21

更新日期:2015-12-21

 

受影响系统:

 

VMware vRealize Orchestrator 6.x

VMware vCenter Orchestrator 5.x

VMware vRealize Operations 6.x

VMware vCenter Operations 5.x

VMware vCenter Application Discovery Manager (vADM) 7.x

 

描述:

 

多款Vmware产品的Serialized-object接口中存在序列化安全漏洞,允许远程攻击者可利用Apache Commons Collections库相关的特制的序列化的JAVA对象漏洞,提交特殊请求执行任意命令。

 

相关链接:

 

http://www.vmware.com/security/advisories/VMSA-2015-0009.html

 

5. Adobe Flash Player CVE-2015-8651整数溢出代码执行漏洞

 

CVE ID:

 

发布日期:2015-12-29

更新日期:2015-12-29

 

受影响系统:

 

Adobe Flash Player Desktop Runtime 20.0.0.267 

Adobe Flash Player Extended Support Release 18.0.0.324

Adobe Flash Player for Google Chrome 20.0.0.267

Adobe Flash Player for Microsoft Edge and Internet Explorer 11 20.0.0.267

Adobe Flash Player for Internet Explorer 10 and 11 20.0.0.267

Adobe Flash Player for Linux 11.2.202.559

AIR Desktop Runtime 20.0.0.233

AIR SDK 20.0.0.233

AIR SDK & Compiler 20.0.0.233

AIR for Android 20.0.0.233

 

描述:

 

Adobe Flash Player存在整数溢出漏洞,允许远程攻击者可利用该漏洞构建恶意SWF内容,诱使用户解析,可使应用程序崩溃或执行任意代码。

 

相关链接:

 

https://helpx.adobe.com/security/products/flash-player/apsb16-01.html

 

6. 多个思科产品Java反序列化漏洞

 

CVE(CAN) ID: CVE-2015-6420

 

发布日期:2015-12-17

更新日期:2015-12-17

 

受影响系统:

 

Collaboration and Social Media

Cisco WebEx Meetings

 

Network and Content Security Devices

Cisco Physical Access Control Gateway

Cisco Physical Access Manager

Cisco Virtual Security Gateway for Microsoft Hyper-V

 

Network Management and Provisioning

Cisco Packet Tracer

Cisco Prime Infrastructure

Cisco Prime Security Manager

 

Routing and Switching - Enterprise and Service Provider

Cisco ONS 15454 Series Multiservice Provisioning Platforms

 

Unified Computing

Cisco UCS Director

Cisco Virtual Security Gateway

 

Voice and Unified Communications Devices

Cisco Agent Desktop for Cisco Unified Contact Center Express

Cisco Desktop Collaboration Experience DX70 and DX80

Cisco USC8088

Cisco Unified Integration for IBM Sametime

Cisco Unified Workforce Optimization

Cisco Unity Connection (UC)

Cisco Unity Connection

Cisco Voice Portal (CVP)

 

Video, Streaming, TelePresence, and Transcoding Devices

Cisco Model D9485 DAVIC QPSK

Cisco TelePresence 1310

Cisco TelePresence System 1000

Cisco TelePresence System 1100

Cisco TelePresence System 1300

Cisco TelePresence System 3000 Series

Cisco TelePresence System 500-32

Cisco TelePresence System 500-37

Cisco TelePresence TX 9000 Series

Cisco VEN501 Wireless Access Point

 

Wireless

Cisco Mobility Services Engine (MSE)

Cisco Wireless Control System (WCS)

 

Cisco Hosted Services

Cisco Cloud Services

Cisco Smart Care

Cisco WebEx11 Application Server

Network Performance Analytics (NPA)

 

描述:

 

Cisco Collaboration and Social Media; Endpoint Clients and Client Software; Network Application, Service, and Acceleration; Network and Content Security Devices; Network Management and Provisioning; Routing and Switching - Enterprise and Service Provider; Unified Computing; Voice and Unified Communications Devices; Video, Streaming, TelePresence, and Transcoding Devices; Wireless; Cisco Hosted Services产品的序列化对象接口中存在安全漏洞,远程攻击者提交特制的序列化java对象,以应用程序上下文执行任意命令。

 

相关链接:

 

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151209-java-deserialization

 

7. Joomla! CVE-2015-8103远程代码执行漏洞

 

CVE ID:CVE-2015-8103

 

发布日期:2015-12-16

更新日期:2015-12-16

 

受影响系统:

 

Joomla! 1.5.x

Joomla! 2.x

Joomla! 3.x

 

描述:

 

Joomla!中存在安全漏洞,允许远程攻击者可提交特殊的HTTP User-Agent头实施PHP对象注入攻击,执行任意PHP代码。

 

相关链接:

 

https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html

 

8. Grub2 CVE-2015-8370整数溢出漏洞

 

CVE(CAN) ID:CVE-2015-8370

 

发布日期:2015-12-16

更新日期:2015-12-16

 

受影响系统:

 

Grub2 1.98-2.02

 

描述:

 

Grub2 grub-core/normal/auth.c文件中的‘grub_username_get’函数和lib/crypto.c文件中的‘grub_password_get’函数中的退格字符处理存在安全漏洞,允许攻击者利用漏洞连续敲28次回车,获取敏感信息或造进行拒绝服务攻击,或绕过安全限制。

 

相关链接:

 

http://www.openwall.com/lists/oss-security/2015/12/15/6

 

 

9. UPnP协议libupnp函数库缓冲区溢出漏洞

 

CVE ID:

 

发布日期:2013-01-31

更新日期:2015-12-18

 

受影响系统:

 

Portable UPnP SDK (libupnp) Portable UPnP SDK (libupnp) 1.x

 

描述:

 

Libupnp是UPnP设备可移植的SDK,提供了API和开源代码。libupnp存在缓冲区溢出漏洞,由于函数没有对数据执行正确的边界检查,攻击者可利用这些漏洞在受影响设备内执行任意代码。

 

相关链接:

 

https://community.rapid7.com/docs/DOC-2150

 

10. Kerberos网络认证协议存在认证绕过漏洞

 

CVE ID:

 

发布日期:2015-12-18

更新日期:2015-12-18

 

受影响系统:

 

MIT Kerberos

 

描述:

 

Kerberos网络认证协议存在认证绕过漏洞。基于Kerberos的工作方式,攻击者可借助krbtgt密码绕过身份验证系统,获取管理员访问权限,执行管理员操作。

 

相关链接:

 

http://www.theregister.co.uk/2015/12/15/devastating_flaw_in_windows_authentication

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号