VenusTech 2016年4月之TOP 10安全漏洞
发布时间:2016-05-01   录入:启明星辰

2016年04月安全漏洞总结

 

I. 本月重要安全漏洞

 

----------------------------

 

1. Apache Struts2动态更新方法调用远程代码执行漏洞

 

2. Microsoft 4月安全公告修复多个安全漏洞

 

3. Oracle漏洞4月安全公告修复多个安全漏洞

 

4. Android mediaserver Sonivox任意代码执行漏洞

 

5. Samba MS-SAMR/MS-LSAD中间人攻击漏洞

 

6. Adobe Flash Player多个内存破坏任意代码执行漏洞

 

7. Systech SysLINK SL-1000 M2M Modular Gateway CVE-2016-2332命令注入漏洞

 

8. Squid ESI响应任意代码执行漏洞

 

9. Cisco Unified Computing System任意命令执行漏洞

 

10.HPE P9000 CVAE任意命令执行漏洞

 

 

1. Apache Struts2动态更新方法调用远程代码执行漏洞

 

CVE ID:CVE-2016-3081

 

发布日期:2016-04-27

更新日期:2016-04-27

 

受影响系统:

 

Apache Struts 2.3.18 - 2.3.28(除去2.3.20.3和2.3.24.3)

 

描述:

 

Apache Struts2在2.3.18版本之前,对于动态方法调用使用的是反射的方法,但是在2.3.18版本开始启用了OGNL表达式处理这种功能,由于没有正确限制内容,可导致攻击者提交特殊的OGNL表达式执行任意代码。

 

相关链接:

 

https://cwiki.apache.org/confluence/display/WW/S2-032

 

2. Microsoft 4月安全公告修复多个安全漏洞

 

CVE ID:

 

发布日期:2016-03-10

更新日期:2016-03-10

 

受影响系统:

 

Microsoft Windows

Microsoft Internet Explorer

Microsoft Office

Microsoft Office Services

Microsoft Edge

Microsoft Skype for Business

Microsoft Web Apps

Microsoft Edge

Microsoft .NET Framework

 

描述:

 

微软发布了2016年4月份的月度例行安全公告,共含13项更新,修复了Microsoft Windows、Internet Explorer、Edge、.NET Framework、Office、Skype for Business、Microsoft Lync、Office Services 和 Web Apps、Flash Player产品中存在的安全漏洞。

 

相关链接:

 

https://technet.microsoft.com/library/ms16-apr.aspx

 

3. Oracle漏洞4月安全公告修复多个安全漏洞

 

CVE(CAN) ID:

 

发布日期:2016-04-19

更新日期:2016-04-19

 

受影响系统:

 

Oracle Enterprise Manager Grid Control

OracleSupply Chain Products Suite

Oracle E-Business Suite

Oracle Siebel

HOracle yperion、PeopleSoft

Oracle Industry Applications

Oracle Virtualization

Oracle Pillar Axiom

Oracle Java SE

Oracle Sun

Oracle MySQL

 

描述:

 

 

Oracle漏洞4月安全公告修复多个安全漏洞,受影响的产品包括Oracle数据库、中间件产品Fusion Middleware;供应链套装软件Oracle Supply Chain Products Suite电子商务套装软件OracleE-Business Suite、企业管理器网格控制产品Oracle Enterprise Manager Grid Contro、OracleSiebel托管型CRM软件;PeopleSoft产品、Berkeley DB、Virtualization、Financial Services Software、Retail Applications、Communications Applications、Health Sciences Applications、JDEdwards产品;Java SE、Oracle Sun系统产品和MySQL数据库,建议用户积极升级更新。

 

相关链接:

 

http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

 

4. Android mediaserver Sonivox任意代码执行漏洞

 

CVE ID:CVE-2016-0838

 

发布日期:2016-04-18

更新日期:2016-04-18

 

受影响系统:

 

Android 6.x < 2016-04-01

 

描述:

 

Android mediaserver/Sonivox未检查示例的负数,存在安全漏洞。通过畸形的媒体文件,远程攻击者可执行任意代码或造成拒绝服务。

 

相关链接:

 

https://portals.apache.org/jetspeed-2/security-reports.html

 

5.Samba MS-SAMR/MS-LSAD中间人攻击漏洞

 

CVE ID:CVE-2016-2118

 

发布日期:2016-04-12

更新日期:2016-04-12

 

受影响系统:

 

Samba 3.6.0 - 4.4.0

 

描述:

 

Samba在MS-SAMR及MS-LSAD协议中没有正确处理DCERPC连接,通过中间人攻击可修改客户端到服务器的数据流,执行协议降级攻击并冒充用户,对Security Account Manager Database读写操作,获取敏感信息。

 

相关链接:

 

https://www.samba.org/samba/security/CVE-2016-2118.html

 

6. Adobe Flash Player多个内存破坏任意代码执行漏洞

 

CVE(CAN) ID:

 

发布日期:2016-03-08

更新日期:2016-03-08

 

受影响系统:

 

Adobe Flash Player < 21.0.0.213

Adobe Flash Player < 18.0.0.343

Adobe Flash Player < 11.2.202.616

 

描述:

 

Adobe Flash Player存在多个内存破坏漏洞,允许远程攻击者利用漏洞构建恶意SWF内容,诱使用户解析,可使应用程序崩溃或执行任意代码。

 

相关链接:

 

https://helpx.adobe.com/security/products/flash-player/apsb16-10.html

 

7.Systech SysLINK SL-1000 M2M Modular Gateway CVE-2016-2332命令注入漏洞

 

CVE ID:CVE-2016-2332

 

发布日期:2016-04-25

更新日期:2016-04-25

 

受影响系统:

 

Systech SysLINK SL-1000 M2M Modular Gateway

 

描述:

 

Systech SysLINK SL-1000 M2M Modular Gateway的Web接口中的flu.cgi文件存在命令注入漏洞,允许远程攻击者可请求flu.cgi的‘5066’参数以root权限执行任意命令。

 

相关链接:

 

http://www.kb.cert.org/vuls/id/822980

 

8. Squid ESI响应任意代码执行漏洞

 

CVE(CAN) ID:CVE-2016-4052

 

发布日期:2016-04-21

更新日期:2016-04-21

 

受影响系统:

 

Squid 4.x < 4.0.9

Squid 3.x < 3.5.17

 

描述:

 

Squid处理ESI响应存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊构造的ESI响应,执行任意代码或进行拒绝服务。

 

 

相关链接:

 

http://www.squid-cache.org/Advisories/SQUID-2016_6.txt

 

 

9. Cisco Unified Computing System任意命令执行漏洞

 

CVE ID:CVE-2016-1352

 

发布日期:2016-04-12

更新日期:2016-04-12

 

受影响系统:

 

Cisco Unified Computing System (UCS) Central Software <= 1.3(1b)

 

描述:

 

Cisco Unified Computing System (UCS) Central Software存在安全漏洞。允许远程攻击者利用楼i懂通过构造的HTTP请求执行任意OS命令。

 

相关链接:

 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160413-ucs

 

10. HPE P9000 CVAE任意命令执行漏洞

 

CVE ID:CVE-2016-2003

 

发布日期:2016-04-26

更新日期:2016-04-26

 

受影响系统:

 

HP P9000 Command View Advanced Edition 7.0.0-02<8.4.0-00

HP XP7 Command View Advanced Edition Suite 7.0.0-02<8.4.0-00

 

描述:

 

HPE P9000 Command View Advanced Edition Software (CVAE)和XP7 CVAE存在安全漏洞,允许远程攻击者构造的系列化Java对象以应用程序上下文执行任意命令。

 

相关链接:

 

https://h20564.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05085438

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号