当前位置: 首页 > 服务与支持 > 产品升级公告 > 漏洞特征库升级公告

服务与支持Support

2013年10月11日漏洞特征库升级公告

     发表日期:2013-10-11 16:34:00

漏洞描述

CVE 编号

漏洞名称

描述

CVE-2013-2068

Red Hat CloudForms Management Engine 多个目录遍历漏洞

Red Hat CloudForms Management Engine 2.0中的AgentController中存在多个目录遍历漏洞。远程攻击者可通过向(1)log,(2)upload,或(3)linuxpkgs方法中传递filename参数中的‘..’利用该漏洞,新建或覆盖任意文件。

CVE-2013-4115

Squid ‘idnsALookup()’函数远程缓冲区溢出漏洞

  Squid 3.2至3.2.11版本和3.3至3.3.6版本中存在缓冲区溢出漏洞。攻击者可利用该漏洞在受影响程序上下文中执行任意代码,也可能导致拒绝服务。

CVE-2013-1839

Squid ‘strHdrAcptLangGetItem()’拒绝服务漏洞

Squid 3.3.2之前版本和3.2.8之前版本中存在拒绝服务漏洞,该漏洞源于处理‘Accept-Language’头时,‘strHdrAcptLangGetItem()’函数(errorpage.cc)中存在错误。攻击者利用该漏洞触发无限循环,消耗CPU资源。

CVE-2013-1892

 

MongoDB 远程代码注入漏洞

  MongoDB中存在远程代码注入漏洞,该漏洞源于程序没有验证用户提供的输入。攻击者利用该漏洞在受影响应用程序上下文中注入并执行任意代码。

CVE-2013-3128

Microsoft OpenType 字体分析漏洞

Windows分析特制OpenType字体(OTF)的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。以下产品和版本受到影响:Windows XP SP2和SP3,Windows Server 2003 SP2,Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8,Windows Server 2012,Windows RT中的内核驱动模式;.NET Framework 3.0 SP2,3.5,3.5.1,4,4.5。

CVE-2013-3248

Corel PDF Fusion Insecure Library Loading 任意代码执行漏洞

Corel PDF Fusion中存在任意代码执行漏洞。攻击者可利用这些漏洞在用户运行的受影响程序上下文中执行任意代码。Corel PDF Fusion 1.11版本中存在漏洞,其他版本也可能受到影响。

CVE-2013-3540

Airlive IP Cameras 跨站请求伪造漏洞

Airlive IP Cameras中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行某些未授权的操作,有助于进一步攻击。Airlive IP Cameras POE-2600HD,POE-250HD,POE-200HD,POE-100HD,OD-325HD,OD-2025HD,OD-2060HD中存在漏洞。

CVE-2013-3541

AirLive WL-2600CAM 目录遍历漏洞

AirLive WL-2600CAM中存在目录遍历漏洞,该漏洞源于程序没有充分过滤用户提交的输入。远程攻击者可利用该漏洞获得敏感信息,有助于发起进一步攻击。

CVE-2013-3860

Microsoft .NET Framework 实体扩展漏洞

Microsoft .NET Framework中存在一个拒绝服务漏洞,该漏洞可能允许攻击者导致服务器或应用程序崩溃或无响应。以下版本受到影响:.NET Framework 2.0 SP2,3.5,3.5 SP1,3.5.1,4,4.5。 
         

CVE-2013-3871

Microsoft Internet Explorer 内存损坏漏洞

 Microsoft IE 6至10版本不正确地访问内存中的对象时,存在远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。

CVE-2013-1315

Microsoft Office 内存损坏漏洞

Microsoft Excel 分析Excel 文件中的内容的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

 

CVE-2013-3159

XML 外部实体解析漏洞

Microsoft Excel 分析包含外部实体的特制XML 文件的方式中存在一个信息泄露漏洞。

 

CVE-2013-3137

XML 泄露漏洞 

FrontPage 中存在一个信息泄露漏洞,可能允许攻击者泄露目标系统上文件的内容。

 

CVE-2013-3868

远程匿名DoS 漏洞 

Active Directory 服务和AD LDS 中存在一个拒绝服务漏洞,可能导致LDAP 目录服务停止响应,直到管理员重新启动服务。当LDAP 目录服务无法处理特制查询时,会导致该漏洞。

 

CVE-2013-3872

Internet Explorer 中的内存损坏漏洞

当Internet Explorer 不正确地访问内存中的对象时,存在远程执行代码漏洞。这些漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。

 

CVE-2013-3128

OpenType 字体分析漏洞

受影响的组件处理特制OpenType 字体(OTF) 的方式中存在一个远程执行代码漏洞。如果用户访问托管包含特制OTF 文件的XAML 浏览器应用程序(XBAP) 的网站,则该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

 

CVE-2013-3860

实体扩展漏洞

.NET Framework 中存在一个拒绝服务漏洞,该漏洞可能允许攻击者导致服务器或应用程序崩溃或无响应。

 

CVE-2013-3861

JSON 分析漏洞

.NET Framework 中存在一个拒绝服务漏洞,该漏洞可能允许攻击者导致服务器或应用程序崩溃或无响应。