安全漏洞公告

发布时间：

2014-01-03

漏洞编号：

BUGTRAQ ID:64564CVE ID:CVE-2013-7233

漏洞描述：

WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志。 WordPress存在跨站请求伪造漏洞。允许远程攻击者劫持administrars评论的请求的身份验证。

安全建议：

目前没有详细解决方案提供：http://wordpress.org/

发布时间：

2014-01-03

漏洞号：

BUGTRAQ ID: 64633

漏洞描述：

华为eSight ICT运维系统是华为公司研制的新一代面向企业基础网络、统一通信、智真会议、视频监控和数据中心的整体运维管理解决方案。 Huawei eSight V200R003C00版本可使攻击者上传任意文件，并且没有正确验证上传到受影响系统的设备图形，这可被攻击者利用，造成信息泄露、服务中断、挂起等。

安全建议：

Huawei已经为此发布了一个安全公告（hw-323611）以及相应补丁:hw-323611：Vulnerability in Image Upload of User-defined Devices to Huawei eSight System链接：http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-323611.htm

发布时间：

2014-01-03

漏洞号：

BUGTRAQ ID: 64634

漏洞描述：

CloudEngine系列是华为公司面向下一代数据中心和高端园区推出的“云”级高性能交换机。 Huawei CloudEngine系列交换机的HWTACACS模块在实现上存在多个安全限制绕过漏洞。若攻击者拥有低权限的用户名称和密码并能够登录受影响设备，则可以利用这些漏洞绕过服务器身份验证检查，提升用户权限并执行任意命令。

安全建议：

Huawei已经为此发布了一个安全公告（hw-323610）以及相应补丁:hw-323610：A Vulnerability on the HWTACACS Authorization Module of the CloudEngine链接：http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-323610.htm

发布时间：

2014-01-03

漏洞号：

BUGTRAQ ID: 64617 CVE(CAN) ID: CVE-2013-6480

漏洞描述：

libcloud 是用Python开发的访问云计算服务的统一接口。 Apache Libcloud 0.12.3-0.13.2版本销毁DigitalOcean节点时，没有发送scrub_data query参数，这可使本地攻击者利用此漏洞获取敏感信息。

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://libcloud.apache.org/security.html https://digitalocean.com/blog_posts/transparency-regarding-data-security

发布时间：

2014-01-08

漏洞号：

BUGTRAQ ID: 64670CVE ID:CVE-2013-6982

漏洞描述：

Cisco Nexus系列交换机是数据中心级交换机。采用Cisco Nexus OS操作系统。 Cisco NX-OS在处理BGP更新消息时BGP实现存在安全漏洞，允许未验证远程攻击者使设备上所有BGP会话重置。攻击者通过提交构建特定的BGP标记更新消息可触发该漏洞，可使配置了V**v4, V**v6, or 标记了单播地址族的IPv6的Cisco NX-OS设备上所有BGP会话重置。

安全建议：

用户可参考如下厂商提供的安全公告获得补丁信息： http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-6982