安全漏洞公告

发布时间：

2014-04-30

漏洞编号：

BUGTRAQ ID: 67118CVE(CAN) ID: CVE-2014-0185

漏洞描述：

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞，本地攻击者可利用此漏洞获取提升的权限并执行任意代码。

安全建议：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.php.net/downloads.php

发布时间：

2014-04-30

漏洞号：

BUGTRAQ ID: 67121CVE(CAN) ID: CVE-2014-0114

漏洞描述：

Struts是用于构建Web应用的开放源码架构。Struts 1所有版本都存在ClassLoader篡改漏洞，该漏洞类似于刚刚在Struts 2内修复的漏洞 (CVE-2014-0112, CVE-2014-0094)。攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://struts.apache.org/download.cgi#struts23151

发布时间：

2014-04-29

漏洞号：

BUGTRAQ ID: 67081CVE(CAN) ID: CVE-2014-0113

漏洞描述：

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。Apache Struts 2.0.0 - 2.3.16.1内引入的排除参数模式无法有效阻止对getClass()方法的访问，攻击者通过特制的请求，利用此漏洞可绕过该模式。另外 CookieInterceptor配置为接受所有cookie后也存在此类安全漏洞。成功利用后可使攻击者绕过某些安全限制并执行未授权操作。

安全建议：

Apache Group已经为此发布了一个安全公告（S2-021）以及相应补丁:S2-021：S2-021链接：https://cwiki.apache.org/confluence/display/WW/S2-021补丁下载：http://struts.apache.org/download.cgi#struts23162

发布时间：

2014-04-25

漏洞号：

CVE(CAN) ID: CVE-2014-0347

漏洞描述：

Websense是全球领先的整合Web、信息和数据安全防护解决方案提供商。多个Websense产品处理Settings模块的Log Database或User Directories内表单中的密码哈希时出现错误，这可导致泄漏另一个用户的凭证。受影响产品包括：* Websense TRITON UnifiedSecurity Center 7.7.3 Hotfix 31之前版本* Web Security GatewayAnywhere 7.7.3 Hotfix 31之前版本* Web Security Gateway 7.7.3 Hotfix 31之前版本* Websense Web Security 7.7.3 Hotfix 31之前版本* Websense Web Filter 7.7.3 Hotfix 31之前版本* Windows/Websense V-Series设备

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://www.websense.com/content/mywebsense-hotfixes.aspx?patchid=894&prodidx=20&osidx=0&intidx=0&versionidx=0 参考：http://www.kb.cert.org/vuls/id/568252

发布时间：

2014-04-18

漏洞号：

BUGTRAQ ID: 67034CVE(CAN) ID: CVE-2014-0181

漏洞描述：

Linux Kernel是一款开源的操作系统。 Linux Kernel存在安全漏洞，在已连接的netlink套接字上调用write(2)可重配置linux上的网络。 攻击者把套接字作为stdout或stderr传递给setuid程序，可重配置网络，发送netlink消息，造成拒绝服务攻击。

安全建议：

目前没有详细解决方案提供： http://www.kernel.org