安全漏洞公告

发布时间：

2014-04-22

漏洞编号：

漏洞描述：

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。Apache Struts versions 2.0.0- 2.3.16版本中存在安全漏洞，修复CVE-2014-0094漏洞的修补方案中仍然存在缺陷，可被黑客绕过。

安全建议：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://httpd.apache.org/

发布时间：

2014-04-24

漏洞编号：

CVE(CAN) ID: CVE-2014-0472

漏洞描述：

Django是Python编程语言驱动的一个开源Web应用程序框架。Django 1.4.11, 1.5.6, 1.6.3, 1.7 beta 2之前版本在django.core.urlresolvers.reverse函数的实现上存在安全漏洞，远程攻击者通过用用户输入和加点Python 路径，利用此漏洞导入和执行任意Python模块。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.djangoproject.com/ https://www.djangoproject.com/weblog/2014/apr/21/security/

发布时间：

2014-04-22

漏洞编号：

BUGTRAQ ID: 66991 CVE(CAN) ID: CVE-2013-2187

漏洞描述：

Archiva是一个管理一个和多个远程存储的软件。它能够与Maven，Continuum和ANT等构建工具完美结合。Archiva 1.3 - 1.3.6版本在处理特制请求时存在HTML注入漏洞，攻击者通过包含了特制参数的请求，可利用此漏洞将任意HTML或JS代码注入到Archiva主页。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://httpd.apache.org/ http://archiva.apache.org/security.html

发布时间：

2014-04-18

漏洞编号：

BUGTRAQ ID: 66963 CVE(CAN) ID: CVE-2013-6215

漏洞描述：

HP Universal Configuration Management Database是业务服务管理并基于ITIL 计划的配置管理数据库。HP Universal Configuration Management Database 9.05, 10.01, 10.10版本在实现上存在远程代码执行漏洞，远程攻击者可利用此漏洞执行任意代码。

安全建议：

HP已经为此发布了一个安全公告（HPSBMU02988）以及相应补丁:HPSBMU02988：HP Universal Configuration Management Database, Disclosure of Information链接：https://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay?docId=emr_na-c04220407补丁下载：https://hpln.hp.com/node/11274/contentfiles

发布时间：

2014-04-18

漏洞编号：

BUGTRAQ ID: 66961 CVE(CAN) ID: CVE-2013-6213

漏洞描述：

HP LoadRunner可在部署新的系统或升级之前检测性能瓶颈，以防范应用的性能问题。HP LoadRunner 11.52.1之前版本在实现是存在远程代码执行漏洞，攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

安全建议：

HP已经为此发布了一个安全公告（HPSBMU02935）以及相应补丁:HPSBMU02935：HP LoadRunner Virtual User Generator, Remote Code Execution链接：http://alerts.hp.com/r?2.1.3KT.2ZR.xdUfW.JqqYsc..T.db8O.8AdM.bW89MQ__DQBKFTe0补丁下载：http://support.openview.hp.com/selfsolve/document/KM00731150