手机站 | 电信站 | 联通站|联系电话:18925583550

信息安全漏洞周报2018-11月 47期

IBM 产品安全漏洞
IBM API Connect(又名 APIConnect)是一套用于管理 API 生命周期的集成解决方 案。IBM WebSphere MQ 是一款消息传递中间件产品。IBM WebSphere Portal 是构建和 管理 Web 门户的企业软件。其提供对 Web 内容和应用程序的访问,同时为用户提供个 性化体验。IBM Rational Engineering Lifecycle Manager 可视化、分析及组织工程生命周 期数据和数据关系。IBM Security Key Lifecycle Manager 使加密密钥管理流程集中化、 简化和自动化,帮助最大限度降低加密密钥管理的风险和运营成本。IBM OpenPages GRC Platform 是一套用于管理企业风险和合规性的平台。IBM Cloud Private 是一套企业 私有云解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信 息,执行恶意的命令,发起拒绝服务攻击等。 CNVD 收录的相关漏洞包括:IBM API Connect CSV 注入漏洞、IBM WebSphere MQ 拒绝服务漏洞(CNVD-2018-23884)、IBM WebSphere Portal 开放重定向漏洞(CN VD-2018-23906)、IBM Rational Engineering Lifecycle Manager XML 外部实体注入漏 洞、IBM Security Key Lifecycle Manager 认证缺失漏洞、IBM Security Key Lifecycle Manager 不当认证漏洞、IBM OpenPages GRC Platform 信息泄露漏洞(CNVD-2018-23 915)、IBM Cloud Private 信息泄露漏洞。其中,除“IBM WebSphere MQ 拒绝服务漏 洞(CNVD-2018-23884)、IBM OpenPages GRC Platform 信息泄露漏洞(CNVD-2018- 23915)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补 程序。CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。 参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-23883 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23884 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23906 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23908 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23911 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23912 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23915 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23916


Google 产品安全漏洞

Google Chrome 是一款 Web 浏览器。Android 是美国谷歌(Google)公司和开放手 持设备联盟(简称 OHA)共同开发的一套以 Linux 为基础的开源操作系统。本周,上 述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代 码或发起拒绝服务攻击等。 CNVD 收录的相关漏洞包括:Google Android wcd_cpe_core 内存错误引用漏洞、G oogle Android MDSS 驱动程序拒绝服务漏洞、Google Android Kernel 拒绝服务漏洞、 Google Chrome GPU 拒绝服务漏洞、Google gVisor 权限提升漏洞、Google Monorail 跨站点搜索漏洞(CNVD-2018-23925、CNVD-2018-23926、CNVD-2018-23927)。其中, “IBM Rational Quality Manager 权限提升漏洞”的综合评级为“高危”。目前,厂商已经发 布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网 络安全事件。 参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-23866 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23874 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23875 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23910 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23920 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23925 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23926 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23927


Microsoft 产品安全漏洞

Microsoft Excel 是一款电子表格处理软件。Microsoft Team Foundation Server 是一套 应用程序生命周期管理(ALM)工具套件中的源代码管理、项目管理和团队协作平台。 Microsoft Outlook 是一款 Office 套件中所捆绑的电子邮件客户端软件。Microsoft Word 是一款文字处理软件。Microsoft Windows 7 SP1 是一套个人电脑使用的操作系统。 Windows Server 2008 R2 SP1 是一套服务器操作系统。Internet Explorer(IE)是其中的一 款 Windows 系统附带的浏览器。Bing Places for Business 是一个 Bing 门户网站,让本地 企业主在 Bing 上为他们的业务添加一个列表。本周,该产品被披露存在多个漏洞,攻 击者可利用漏洞获取敏感信息,执行任意代码,破坏内存等。 CNVD 收录的相关漏洞包括:Microsoft BingPlaces - TrackEmailOpen (url)开放重 定向漏洞、Microsoft Excel 远程代码执行漏洞(CNVD-2018-23749)、Microsoft Team Foundation Server 跨站脚本漏洞、Microsoft Word 远程代码执行漏洞(CNVD-2018-237 53)、Microsoft Outlook 信息泄露漏洞(CNVD-2018-23750、CNVD-2018-23751)、Micr osoft Internet Explorer 信息泄露漏洞(CNVD-2018-23919)、Microsoft Internet Explorer 远程内存破坏漏洞(CNVD-2018-23924)。其中,“Microsoft Excel 远程代码执行漏洞(C NVD-2018-23749)、Microsoft Word 远程代码执行漏洞(CNVD-2018-23753)、Microsof t Internet Explorer 远程内存破坏漏洞(CNVD-2018-23924)”的综合评级为“高危”。C NVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。 参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2018-23623 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23749 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23752 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23753 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23750 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23751 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23919 http://www.cnvd.org.cn/flaw/show/CNVD-2018-23924


Dell EMC ESRS Policy Manager 远程代码执行漏洞

Dell EMC ESRS 是戴尔公司一款安全远程支持服务程序,Policy Manager 可以为 客户端管理的设备设置权限。本周,Dell EMC ESRS Policy Manager 被披露存在远程 代码执行漏洞。攻击者可利用该漏洞在受影响应用程序中执行任意代码,失败的攻击会 造成拒绝服务。CNVD 提醒广大用户随时关注厂商主页,以获取最新版本。参考链接: http://www.cnvd.org.cn/flaw/show/CNVD-2018-23922


1. 大量 Android 第三方 ROM 未正确配置导致信息泄漏预警
近日,Magisk 作者 topjohnwu 发表文章,提到他在研究 Fate/Grand Order 手游的 r oot 检测机制时发现了存在于数百万台 android 设备上的漏洞,利用该漏洞会泄漏系统上 的进程信息。 参考链接:https://www.anquanke.com/post/id/166475

2. Adobe Flash Player 任意代码执行漏洞(CVE-2018-15981)

最近,Adobe 发布适用于 Windows,macOS,Linux 和 Chrome OS 的 Adobe Flash Player 安全更新,修补了一枚类型混淆漏洞(CVE-2018-15981)。该漏洞影响 Adobe Fl ash Player 31.0.0.148 及以前版本,成功利用会导致任意代码执行。 参考链接:https://www.anquanke.com/post/id/164969


本文内容来源 http://www.cert.org.cn/
分享到:

热门关注