安全漏洞公告

发布时间：

2014-03-20

漏洞编号：

BUGTRAQ ID: 66303CVE(CAN) ID: CVE-2013-6438,CVE-2014-0098

漏洞描述：

Apache HTTP Server是开源HTTP服务器。Apache HTTP Server 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1在实现上存在安全漏洞，可被恶意利用造成拒绝服务。 1、记录截断cookie时，mod_log_config模块存在错误，可被利用造成工作线程崩溃。要成功利用此漏洞需要使用线程化MPM。 2、删除前导空格时，mod_dav模块存在边界错误，可被利用通过特制的DAV WRITE请求破坏内存。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://httpd.apache.org/http://www.apache.org/dist/httpd/CHANGES_2.4.9http://httpd.apache.org/security/vulnerabilities_24.html

发布时间：

2014-03-19

漏洞编号：

CVE(CAN) ID: CVE-2014-2497

漏洞描述：

PHP是一种HTML内嵌式的语言。PHP 5.4.26、5.5.10版本在 "gdImageCreateFromXpm()" 函数 (ext/gd/libgd/gdxpm.c)的实现上存在空指针间接引用错误，攻击者通过特制的XPM文件，利用此漏洞可造成崩溃。

安全建议：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.php.net/downloads.phphttps://bugs.php.net/bug.php?id=66901

发布时间：

2014-03-17

漏洞编号：

BUGTRAQ ID: 66157 CVE(CAN) ID: CVE-2014-2324

漏洞描述：

lighttpd是一款HTTP服务程序。lighttpd mod_simple_vhost_docroot函数(mod_simple_vhost.c)和mod_evhost_parse_host函数 (mod_evhost.c)存在目录遍历漏洞，允许远程攻击者利用漏洞获取系统本地文件内容。

安全建议：

lighttpd 1.4.35已经修复该漏洞，建议用户下载更新： http://www.lighttpd.net/

发布时间：

2014-03-17

漏洞编号：

BUGTRAQ ID: 66153CVE(CAN) ID: CVE-2014-2323

漏洞描述：

lighttpd是一款HTTP服务程序。lighttpd mod_mysql_vhost.c存在SQL注入漏洞，允许远程攻击者利用漏洞提交特制的SQL查询，操作或获取数据库数据。

安全建议：

lighttpd 1.4.35已经修复该漏洞，建议用户下载更新： http://www.lighttpd.net/

发布时间：

2014-03-17

漏洞编号：

BUGTRAQ ID: 66173CVE(CAN) ID:CVE-2014-2291

漏洞描述：

Juniper Networks的Secure Access是企业级的SSL V**接入设备，设备上所运行的操作系统为Juniper IVE OS。Juniper Junos Pulse Secure Access SSL V**存在跨站脚本漏洞。由于相关Pulse Collaboration (Secure Meeting)用户页面的输入在返回用户之前缺少过滤，允许远程攻击者利用漏洞构建恶意URI，诱使用户解析，可获得敏感Cookie，劫持会话或在客 户端上进行恶意操作。

安全建议：

Juniper IVE OS Software 8.0r1, 7.4r8, 7.3r10, 7.1r18已经修复该漏洞，建议用户下载更新： https://www.juniper.net/