1 Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏
Xen 'HVMOP_set_mem_type'操作远程拒绝服务漏 | |
---|---|
发布时间: | 2014-05-08 |
漏洞编号: | BUGTRAQ ID: 67113CVE ID: CVE-2014-3124 |
漏洞描述: | Xen是一个开源虚拟机监视器,由剑桥大学开发。Xen 4.1-4.4.x版本的HVMOP_set_mem_type控件在实现上存在安全漏洞,本地客户端HVM管理员利用另外一个qemu-dm漏洞触发未指定内存页类型的无效页面表转换,然后利用此漏洞可造成拒绝服务或执行任意代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://xenbits.xen.org/xsa/xsa92.patchhttp://xenbits.xen.org/xsa/xsa92-4.1.patchhttp://xenbits.xen.org/xsa/xsa92-4.2.patchhttp://xenbits.xen.org/xsa/advisory-92.html |
2 Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞
Nagios Remote Plugin Executor (NRPE) nrpe.c不完整黑名单漏洞 | |
---|---|
发布时间: | 2014-05-07 |
漏洞编号: | CVE ID: CVE-2014-2913 |
漏洞描述: | Nagios是开源计算机系统监控、网络监控和架构监控软件。Nagios Remote Plugin Executor (NRPE) 2.15及之前版本的nrpe.c存在不完整黑名单漏洞,这可使远程攻击者通过libexec/check_nrpe的-a选项中的新行字符,利用此漏洞执行任意命令。 |
安全建议: | 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.nagios.org/参考:http://lists.opensuse.org/opensuse-updates/2014-05/msg00014.htmlhttp://lists.opensuse.org/opensuse-updates/2014-05/msg00005.htmlhttp://seclists.org/fulldisclosure/2014/Apr/242 |
3 Apache CXF远程拒绝服务漏洞
Apache CXF远程拒绝服务漏洞 | |
---|---|
发布时间: | 2014-05-06 |
漏洞编号: | BUGTRAQ ID: 67232CVE ID: CVE-2014-0110 |
漏洞描述: | Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。Apache CXF 2.6.14之前版本及2.7.11版本处理或解析SOAP消息时出错,这可使服务器读取剩余数据,并保存到临时文件内,通过动态创建数据,攻击者可造成整个/tmp目录占满,导致拒绝服务。 |
安全建议: | Apache Group已经为此发布了一个安全公告(CVE-2014-0109)以及相应补丁:CVE-2014-0109:HTML content posted to SOAP endpoint could cause OOM errors链接:http://cxf.apache.org/security-advisories.data/CVE-2014-0109.txt.asc补丁下载:https://git-wip-us.apache.org/repos/asf?p=cxf.git;a=commit;h=f8ed98e684c1a67a77ae8726db05a04a4978a445 |
4 Apache Struts 'CookieInterceptor'安全限制绕过漏洞
Apache Struts 'CookieInterceptor'安全限制绕过漏洞 | |
---|---|
发布时间: | 2014-05-06 |
漏洞编号: | BUGTRAQ ID: 67218CVE ID: CVE-2014-0116 |
漏洞描述: | Apache Struts是用于构建Web应用的开放源码架构。Apache Struts 2.0.0-2.3.16.2版本没有正确限制对"class"参数的访问权,该参数通过CookieInterceptor直接映射到 "getClass()"方法。当"*"用来配置cookiesName参数时,攻击者可利用此漏洞篡改应用服务器使用的ClassLoader,然后更 改会话或请求的状态。该漏洞源于对CVE-2014-0113的不完整修复。 |
安全建议: | Apache Group已经为此发布了一个安全公告(s2-022)以及相应补丁:s2-022:s2-022链接:http://struts.apache.org/release/2.3.x/docs/s2-022.html补丁下载:http://struts.apache.org/download.cgi#struts23163 |
5 Citrix NetScaler Gateway跨站脚本漏洞
Citrix NetScaler Gateway跨站脚本漏洞 | |
---|---|
发布时间: | 2014-05-06 |
漏洞编号: | BUGTRAQ ID: 67177CVE(CAN) ID: CVE-2014-1899 |
漏洞描述: | Citrix Access Gateway是一款通用的SSL V**设备。Citrix NetScaler Gateway 10.1.123.9、9.3.66.5之前版本在实现上存在跨站脚本漏洞,远程攻击者可利用此漏洞在受影响站点上下文中执行任意代码。 |
安全建议: | Citrix已经为此发布了一个安全公告(CTX140291)以及相应补丁:CTX140291:Cross-Site Scripting Vulnerability in Citrix NetScaler Gateway, formerly Citrix Access Gateway Enterprise Edition链接:https://support.citrix.com/article/CTX140291补丁下载:https://www.citrix.com/downloads/netscaler-gateway/product-software.html |
----------------------------