安全漏洞公告

发布时间：

2014-02-26

漏洞编号：

BUGTRAQ ID: 65768CVE ID: CVE-2013-4590

漏洞描述：

Apache Tomcat是一个流行的开源JSP应用服务器程序。 Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本的XML(例如：web.xml, context.xml, *.tld, *.tagx, *.jspx)文件允许XXE，这可使攻击者获取Tomcat内部敏感信息。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://jakarta.apache.org/tomcat/index.html [1] http://tomcat.apache.org/security-8.html [2] http://tomcat.apache.org/security-7.html [3] http://tomcat.apache.org/security-6.html

发布时间：

2014-02-26

漏洞号：

BUGTRAQ ID: 65769CVE ID: CVE-2014-0033

漏洞描述：

Apache Tomcat是一个流行的开源JSP应用服务器程序。 Tomcat 6.0.33 - 6.0.37版本在disableURLRewriting的实现上存在会话固定漏洞，攻击者可利用此漏洞劫持任意会话，获取未授权受影响应用的访问权限。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://jakarta.apache.org/tomcat/index.html

发布时间：

2014-02-26

漏洞号：

BUGTRAQ ID: 65773CVE ID: CVE-2013-4286

漏洞描述：

Apache Tomcat是一个流行的开源JSP应用服务器程序。 Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本存在漏洞CVE-2005-2090修复不完整问题，远程攻击者可利用此漏洞对Web缓存投毒、逃避IDS签名、启动跨站脚本、HTML注入、会话劫持攻击等。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://jakarta.apache.org/tomcat/index.html [1] http://tomcat.apache.org/security-8.html [2] http://tomcat.apache.org/security-7.html [3] http://tomcat.apache.org/security-6.html

发布时间：

2014-02-25

漏洞号：

BUGTRAQ ID: 65738CVE ID: CVE-2014-1266

漏洞描述：

JBoss RichFaces是一个具有Ajax和JSF特性的Web框架。 RichFaces没有正确过滤某些请求，未经身份验证的远程攻击者通过发送大量的畸形请求到使用Atmosphere框架的RichFaces应用，利用此漏洞导致应用服务器拒绝服务（大量的内存消耗）。

安全建议：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.jboss.org/

发布时间：

2014-02-25

漏洞号：

BUGTRAQ ID: 65731CVE ID: CVE-2014-0065

漏洞描述：

PostgreSQL是一款高级对象－关系型数据库管理系统，支持扩展的SQL标准子集。 PostgreSQL 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20之前版本存在多个缓冲区溢出漏洞，经过身份验证的数据库用户可利用这些漏洞使PostgreSQL服务器崩溃或执行任意代码。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://www.postgresql.org