2014年12月01日漏洞特征库升级公告
发表日期:2014-12-01 12:00:00
漏洞描述 |
||
CVE 编号 |
漏洞名称 |
描述 |
CVE-2000-0629 |
Sun Java Web服务器漏洞 |
Sun Java web server 2.0版本及之前版本的默认配置存在漏洞。远程攻击者可以借助board.html通过上传Java代码到服务器然后直接调用JSP编译控制器来执行任意命令。 |
CVE-2002-0861 |
Microsoft OWC剪贴板信息泄露漏洞 |
Microsoft Office Web Components (OWC9和OWC10)中在处理Range对象和Cell对象中存在漏洞,导致远程攻击者可能完全控制剪贴板操作。 |
CVE-2003-0245 |
Apache mod_dav远程拒绝服务攻击漏洞 |
Apache HTTP服务器是流行的开源WEB服务器程序,可使用在Unix和Windows操作系统下。 |
CVE-2003-0809 |
Microsoft Internet Explorer XML页对象类型确认漏洞 |
由于没有正确处理嵌入在XML页面中的对象类型,攻击者构建包含恶意对象的XML页面,诱使用户访问, 可导致目标用户会把这个对象以可信对象装载处理,因此精心构建对象数据可以在目标用户上安装和执行任意程序。 |
CVE-2003-0813 |
Microsoft DCOM RPC远程竞争条件漏洞 |
RPCSS模块中的激活类函数在处理部分激活消息请求时存在问题,远程攻击者可以利用这个漏洞以SYSTEM进程权限在系统上执行任意指令。 |
CVE-2004-0930 |
Samba ms_fnmatch 拒绝服务漏洞 |
Samba3.0.4及3.0.7的ms_fnmatch函数存在缺陷,可导致拒绝服务攻击,在其他版本的Samba软件中,也可能存在该漏洞。 |
CVE-2013-5211 |
NTP monlist功能输入验证漏洞 |
NTP 4.2.7p26之前的版本中的ntpd守护进程中的ntp_request.c文件中的monlist功能中存在输入验证漏洞。远程攻击者可通过伪造REQ_MON_GETLIST或REQ_MON_GETLIST_1请求利用该漏洞造成拒绝服务。 |
CVE-2014-0099 |
Apache Tomcat 整型溢出漏洞 |
Apache Tomcat,7.x的前7.0.53,和8.x之前8.0.4,允许远程攻击者通过特制内容长度HTTP标头进行HTTP请求攻击。 |
CVE-2014-3566 |
SSL 3.0 POODLE攻击信息泄露漏洞 |
POODLE攻击是针对SSLv3中CBC模式加密算法的一种padding oracle攻击。这个攻击方式和之前的BEAST攻击方式很像,可以让攻击者获取SSL通信中的部分信息的明文,比如cookie。 |
CVE-2014-6322 |
Microsoft Windows远程权限提升漏洞 |
Microsoft Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本中,Windows Audio服务存在远程权限提升漏洞,远程攻击者诱使受害者查看构造的网页,利用此漏洞可提升权限。 |
CVE-2014-6352 |
Microsoft OLE远程代码执行漏洞 |
Microsoft Windows在OLE组件的实现上存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞执行远程代码。此漏洞源于没有正确处理含有OLE对象的Office文件。 |
CVE-2014-7187 |
GNU Bash深度嵌套流控制结构单字节溢出漏洞 |
Bash 4.3 bash43-025及之前版本在处理深度嵌套的循环时,存在word_lineno单字节溢出漏洞,根据.bss段的布局,该漏洞可能造成执行任意代码。 |
CVE-2014-4877 |
Wget FTP软链接攻击漏洞 |
当一个递归目录获取通过ftp服务器作为目标,这会让攻击者创建任意文件,目录或符号链接,由于符号链接漏洞。 |
CVE-2014-3997 |
MetadataServlet SQL注入漏洞 |
ManageEngine网络性能管理组件能够对网络设备、服务器、主机、WAN链路、应用及服务等IT基础设施实现全方位、可视化、统一集中监控和管理。 |