内容安全 
大数据安全 
网络安全 
更多产品 
2014年9月15日漏洞特征库升级公告
发表日期:2014-09-15 18:03:06
| 漏洞描述 |
||
| CVE 编号 |
漏洞名称 |
描述 |
| CVE-2014-5073 |
VMTurbo Operations Manager fileDate命令注入漏洞 |
VMTurbo Operations Manager WEB接口vmtadmin.cgi不正确过滤用户提交的请求,允许远程攻击者利用漏洞提交特殊的请求注入OS命令,并以WEB权限执行。 |
| CVE-2013-5879 |
Oracle Outside In Technology 本地安全漏洞 |
Oracle Fusion Middleware 8.4.0和8.4.1版本的Oracle Outside In Technology组件中的Outside In Maintenance子组件中存在安全漏洞。本地攻击者可通过HTTP协议利用该漏洞提权,造成拒绝服务,影响数据的可用性。 |
| CVE-2014-0050 |
Apache Commons FileUpload 拒绝服务漏洞 |
Apache Tomcat和JBoss Web中使用的Apache Commons FileUpload 1.3.1及之前版本中的MultipartStream.java文件存在安全漏洞。远程攻击者可借助特制的Content-Type header利用该漏洞造成拒绝服务(无限循环和CPU消耗)。 |
| CVE-2014-0099 |
Apache Tomcat整数溢出漏洞 |
Apache Tomcat很容易出现一个信息泄露漏洞, 攻击者可以利用此漏洞获得访问敏感信息,可能会导致进一步的攻击。以下版本很容易: Apache Tomcat的8.0.0-RC1到8.0.3 的Apache Tomcat 7.0.0至7.0.52 的Apache Tomcat 6.0.0至6.0.39 |
| CVE-2014-0114 |
Apache Struts 输入验证漏洞 |
Apache Struts 1.x至1.3.10版本的ActionForm对象中存在安全漏洞。远程攻击者可借助‘class’参数传递到getClass方法利用该漏洞控制ClassLoader,并执行任意代码。 |
| CVE-2014-0195 |
OpenSSL DTLS无效片段漏洞 |
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,d1_both.c内的dtls1_reassemble_fragment函数没有正确验证DTLS ClientHello消息内的碎片长度,远程攻击者通过超长的非起始碎片,利用此漏洞可执行任意代码或造成拒绝服务(缓冲区溢出及应用崩溃)。 |
| CVE-2014-0221 |
OpenSSL dtls1_get_message_fragment函数拒绝服务漏洞 |
OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本,d1_both.c内的dtls1_get_message_fragment函数存在安全漏洞,远程攻击者通过无效DTLS握手内的DTLS问候消息,利用此漏洞可造成拒绝服务(循环和客户端崩溃) |
CVE-2014-0224 |
OpenSSL SSL/TLS 中间人漏洞漏洞 |
OpenSSL部分版本没有正确处理ChangeCipherSpec消息,攻击者能够用使用一个精心构造的握手数据包迫使OpenSSL/TLS 客户端和服务端使用弱密钥通讯。攻击者通过中间人攻击来利用这个漏洞,将能够解密并修改被攻击的client和server之间的通讯,从而获取敏感信息。 |
CVE-2012-4226 |
WordPress ‘Quick Post Widget’插件输入验证漏洞 |
WordPress中的Quick Post Widget插件中存在多个跨站脚本漏洞和跨站请求伪造漏洞。攻击者可利用这些漏洞在受影响站点上下文中不知情用户浏览器中执行任意代码,窃取基于cookie的认证证书,泄露或修改敏感信息,或执行未授权操作,也可能存在其他攻击。Quick Post Widget 1.9.1版本中存在漏洞,其他版本也可能受到影响。 |
CVE-2014-0554 |
Adobe Flash Player及AIR安全绕过漏洞 |
攻击者可利用该漏洞绕过既定的访问限制,控制受影响系统。以下产品和版本受到影响:基于Windows和OS X平台的Adobe Flash Player 14.0.0.179及之前版本和13.0.0.241及之前版本,基于Linux平台的Adobe Flash Player 11.2.202.400及之前版本,基于Windows和OS X平台的Adobe AIR 14.0.0.178及之前版本,基于Android平台的Adobe AIR 14.0.0.179及之前版本,Adobe AIR SDK 14.0.0.178及之前版本,Adobe AIR SDK & Compiler 14.0.0.178及之前版本 |
CVE-2014-2799 |
Microsoft Internet Explorer远程内存破坏漏洞 |
Internet Explorer 6, 7, 8, 9, 10, 11版本不正确地访问内存中的对象时,存在远程执行代码漏洞。这些漏洞被攻击者成功利用后可以在当前用户的上下文中执行任意代码,损坏内存。 |
CVE-2014-4065 |
Microsoft Internet Explorer远程内存破坏漏洞 |
InternetExplorer是微软公司推出的一款网页浏览器。InternetExplorer6,7,8,9,10,11版本不正确地访问内存中的对象时,存在远程执行代码漏洞。这些漏洞被攻击者成功利用后可以在当前用户的上下文中执行任意代码,损坏内存。 |
CVE-2014-4080——CVE-2014-4095, |
Microsoft Internet Explorer远程内存破坏漏洞 |
Internet Explorer 6, 7, 8, 9, 10, 11版本不正确地访问内存中的对象时,存在远程执行代码漏洞。这些漏洞被攻击者成功利用后可以在当前用户的上下文中执行任意代码,损坏内存。 |
CVE-2013-7331 |
Microsoft.XMLDOM ActiveX控件输入验证漏洞 |
Microsoft Windows 8.1及之前版本的Microsoft.XMLDOM ActiveX控件存在安全漏洞。远程攻击者可通过查看错误代码利用该漏洞确定本地路径名、UNC分享路径名、内部主机名、局域网IP地址的存在。 |
