2013年9月20日漏洞特征库升级公告
发表日期:2013-09-20 16:34:00
漏洞描述 |
|||
CVE 编号 |
漏洞名称 |
描述 |
|
CVE-2013-0081
|
Microsoft SharePoint 拒绝服务漏洞 |
Microsoft SharePoint Server中存在一个拒绝服务漏洞。成功利用此漏洞的攻击者可能导致受影响的SharePoint Server版本上的W3WP进程停止响应,从而导致SharePoint站点以及任何其他该进程下运行的站点不可用,直到进程重新启动。以下产品版本受到影响:Microsoft SharePoint Portal Server 2003 SP3,SharePoint Server 2007 SP3,2010 SP1和SP2,2013。 |
|
CVE-2013-1315 |
Microsoft Office 内存损坏漏洞 |
Microsoft Office服务和Web应用程序分析特制文件中的内容的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。以下产品版本受到影响:Microsoft SharePoint Server 2007 SP3,2010 SP1和SP2,2013;Office Web Apps 2010;Excel 2003 SP3,2007 SP3,2010 SP1和SP2,2013,2013 RT;Office for Mac 2011;Excel Viewer;Office Compatibility Pack SP3。 |
|
CVE-2013-1330 |
Microsoft SharePoint Server Mac 已禁用漏洞 |
Microsoft SharePoint Server处理未分配的工作流的方式中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在本地服务帐户的上下文中运行任意代码。以下产品版本受到影响:Microsoft SharePoint Portal Server 2003 SP3,SharePoint Server 2007 SP3,2010 SP1和SP2,Office Web Apps 2010。 |
|
|
Microsoft FrontPage XML 泄露漏洞 |
Microsoft FrontPage是美国微软(Microsoft)公司Office套件中的一款网页设计、制作、发布、管理软件。 |
|
CVE-2013-3158 |
Microsoft Office Excel 内存损坏漏洞 |
Microsoft Excel分析Excel文件中的内容的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。以下产品及版本受到应:Microsoft Excel 2003 SP3和2007 SP3。 |
|
CVE-2013-3180 |
Microsoft SharePoint Server POST 跨站脚本漏洞 |
Microsoft SharePoint Server中存在一个特权提升漏洞。成功利用此漏洞的攻击者可能执行跨站点脚本攻击并在登录用户的安全上下文中运行脚本。以下产品版本受到影响:Microsoft SharePoint Server 2010 SP1和SP2,2013。 |
|
CVE-2013-3202 |
Microsoft Internet Explorer 内存损坏漏洞 |
Microsoft IE 10版本不正确地访问内存中的对象,存在远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。 |
|
CVE-2013-3850 |
Microsoft Word 内存损坏漏洞 |
Microsoft Office软件分析特制文件的方式中存在远程执行代码漏洞。成功利用这些漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。以下产品及版本受到影响:Microsoft Word 2003 SP3,2007 SP3,2010 SP1和SP2;Office Compatibility Pack SP3;Word Viewer。 |
|
CVE-2013-3868 |
Microsoft Active Directory和Active Directory Lightweight Directory Service远程匿名拒绝服务漏洞 |
Active Directory服务和AD LDS中存在一个拒绝服务漏洞,可能导致LDAP目录服务停止响应,直到管理员重新启动服务。当LDAP目录服务无法处理特制查询时,会导致该漏洞。以下产品及版本受到影响:Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8平台上的Microsoft AD LDS;Windows Server 2008 SP2和R2 SP1,Server 2012平台上的Active Directory Services。 |
|
CVE-2012-5611 |
MySQL/MariaDB 基于栈的缓冲区溢出漏洞 |
MySQL 5.5.19、5.1.53以及其他版本和MariaDB 5.5.28a之前的5.5.2.x版本、5.3.11之前的5.3.x版本、5.2.13之前的5.2.x版本、5.1.66之前的5.1.x版本中存在基于栈的缓冲区溢出漏洞。远程认证攻击者利用该漏洞通过较长的参数传送到GRANT FILE命令,执行任意代码。 |
|
CVE-2013-0169 |
多个TLS/DTLS实现加密问题漏洞 |
OpenSSL,OpenJDK,PolarSSL和其它产品中所使用的TLS协议1.1以及1.2,DTLS协议1.0以及1.2中存在漏洞,该漏洞源于程序在处理畸形的CBC填充期间没有正确地研究针对固执的MAC地址检查操作所进行的计时边信道攻击。通过对特制报文的计时数据的统计分析,远程攻击者可利用该漏洞实施区分攻击以及明文恢复攻击。 |
|
CVE-2013-1491 |
Oracle Java 任意代码执行漏洞 |
Oracle Java 7是Java 的下一个版本,也是SUN被oracle收购以后的第一个Java版本。 Oracle Java 7 Update 17版本以及其他版本中存在漏洞。通过未明向量,远程攻击者利用该漏洞执行任意代码。 |
|
CVE-2013-1571 |
Oracle Java SE JRE组件未明安全漏洞 |
Oracle Java SE 7 Update 21及之前的版本,6 Update 45及之前的版本,5.0 Update 45 及之前的版本和JavaFX 2.2.21及之前的版本中的Javadoc组件中存在安全漏洞。远程攻击者可通过与Javadoc相关的向量利用该漏洞影响完整性。 |
|
CVE-2013-1861 |
Oracle MySQL MariaDB 拒绝服务漏洞 |
Oracle MySQL中的MariaDB 5.5.30之前的5.5.x版本,5.3.13之前的5.3.x版本,5.2.15之前的5.2.x版本,5.1.68之前的5.1.x版本中存在漏洞,该漏洞源于程序没有正确地处理几何功能的二进制表示(与数值计算错误有关)。通过可指定大量的点的特制几何功能,远程攻击者利用该漏洞导致拒绝服务(崩溃)。 |
|
CVE-2013-2429 |
Oracle Java SE JRE组件未明安全漏洞 |
Oracle Java SE 7 Update 17和之前的版本,6 Update 43和之前的版本,5.0 Update 41和之前的版本中的Java Runtime Environment (JRE)组件中存在未明安全漏洞。远程攻击者可通过与ImageIO相关的未知向量利用该漏洞影响保密性,完整性以及可用性。 |
|
CVE-2013-2463 |
Oracle Java SE JRE组件未明安全漏洞 |
Oracle Java SE 7 Update 21及之前的版本,6 Update 45及之前的版本,5.0 Update 45及之前的版本中的Java Runtime Environment (JRE)组件中存在安全漏洞。远程攻击者可通过与2D有关的向量利用该漏洞影响保密性,完整性及可用性。 |
|
CVE-2013-3343 |
Adobe Flash Player/AIR 安全漏洞 |
Adobe Flash Player/AIR多个版本中存在漏洞。远程攻击者可利用该漏洞执行任意代码或造成拒绝服务(内存损坏)。以下版本存在漏洞:基于Windows平台的Adobe Flash Player 10.3.183.90之前的版本和11.7.700.202及之前的11.x版本,基于Mac OS X平台的Adobe Flash Player 10.3.183.86及之前的版本和11.7.700.203及之前的11.x版本,基于Linux平台的Adobe Flash Player 10.3.183.90之前的版本和11.2.202.291之前的11.x版本,基于Android 2.x和3.x版本中的Adobe Flash Player 11.1.111.54及之前的版本;基于Android 4.x版本的Adobe Flash Player 11.1.115.63之前的版本;基于Windows和Android平台的Adobe AIR 3.7.0.1860及之前的版本,基于Mac OS X平台的Adobe AIR 3.7.0.1860及之前的版本;基于Windows平台的Adobe AIR SDK & Compiler 3.7.0.1860及之前的版本,基于Mac OS X平台的Adobe AIR SDK & Compiler 3.7.0.1860及之前的版本。 |
|
CVE-2013-5642 |
Digium多款Asterisk Products Invalid SDP 远程拒绝服务漏洞 |
多款Asterisk产品中存在远程拒绝服务漏洞。攻击者可利用该漏洞使应用程序崩溃,拒绝服务合法用户。以下产品受到影响:Asterisk Open Source、Certified Asterisk、Asterisk Digiumphones。 |
|
CVE-2013-3351 |
Adobe Reader和Acrobat 缓冲区溢出漏洞 |
Windows和Mac OS X平台上的Adobe Reader和Acrobat 10.1.8之前的版本和11.0.04之前的11.x版本中存在多个基于栈的缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。 |
|
CVE-2013-5324 |
Adobe Flash Player和Adobe AIR 内存损坏漏洞 |
多款Adobe产品中存在安全漏洞。攻击者可利用该漏洞执行任意代码或造成拒绝服务(内存损坏)。以下产品及版本受到影响:基于Windows和Mac OS X平台上的Adobe Flash Player 11.8.800.94及之前的版本,基于Linux平台上的Adobe Flash Player 11.2.202.297及之前的版本,基于Android 2.x和3.x平台上的Adobe Flash Player 11.1.111.64及之前的版本,Android 4.x平台上的Adobe Flash Player 11.1.115.69及之前的版本;基于Windows和Android平台上的Adobe AIR 3.8.0.870及之前的版本,基于Mac OS X平台上的Adobe AIR 3.8.0.910及之前的版本。基于Windows平台上的Adobe AIR SDK & Compiler 3.8.0.870及之前的版本,基于Mac OS X平台上Adobe AIR SDK & Compiler 3.8.0.910及之前的版本。 |
|
CVE-2013-4810 |
HPPCM/PCM/IDM/Application Lifecycle Management 远程代码执行漏洞 |
HP PCM,HP PCM+,HP IDM以及ALM中的EJBInvokerServlet和JMXInvokerServlet应用程序中存在远程代码执行漏洞。远程攻击者可通过提交编组对象并使他们安装到任意应用程序,利用该漏洞执行任意代码。以下版本受到影响:HP PCM 3.20和4.0版本,PCM+ 3.20和4.0版本,IDM 4.0版本。 |
|
CVE-2013-5022 |
National Instruments LabWindows/CVI和LabVIEW 3D Graph ActiveX控件安全漏洞 |
National Instruments LabWindows/CVI,LabVIEW和其他产品中的cw3dgrph.ocx文件中的3D Graph ActiveX控件中存在绝对路径遍历漏洞。远程攻击者可通过向ExportStyle方法传送参数中的完整路径名,利用该漏洞创建并执行任意文件。 |
|
CVE-2013-1315 |
Microsoft Office 内存损坏漏洞 |
Microsoft Excel 分析Excel 文件中的内容的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 |
|
CVE-2013-3159 |
XML 外部实体解析漏洞 |
Microsoft Excel 分析包含外部实体的特制XML 文件的方式中存在一个信息泄露漏洞。 |
|
CVE-2013-3137 |
XML 泄露漏洞 |
FrontPage 中存在一个信息泄露漏洞,可能允许攻击者泄露目标系统上文件的内容。 |
|
CVE-2013-3868 |
远程匿名DoS 漏洞 |
Active Directory 服务和AD LDS 中存在一个拒绝服务漏洞,可能导致LDAP 目录服务停止响应,直到管理员重新启动服务。当LDAP 目录服务无法处理特制查询时,会导致该漏洞。 |
|