登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第18期(2010年05月03日-2010年05月09日)

2011-11-24 16:11:49


本周漏洞基本情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集和整理信息安全漏洞36个,其中高危漏洞6个、中危漏洞6个、低危漏洞24个。上述漏洞中,可利用来实施远程攻击的漏洞有30个。经检测发现,网上已经出现针对“IBM WebSphere Application Server SIP日志信息泄漏漏洞”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为24个漏洞提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。



本周重要漏洞信息

本周,CNVD整理和发布以下重要安全漏洞信息。

1、暴风影音播放器m3u文件处理远程溢出漏洞

暴风影音是一款国内流行的多媒体播放软件。暴风影音播放器在处理m3u文件时存在边界检查错误,从而导致了溢出漏洞。攻击者可以通过欺骗用户点击特殊构造的m3u播放文件,最终达到控制用户操作系统的目的。目前,暴风影音官网已经发布暴风影音播放器的更新版本3.10.04.29和CNTV_Beta2 3.10.04.27,建议使用该播放器的用户尽快下载升级。

参考链接:http://www.baofeng.com/

2、Microsoft Windows的SMTP服务存在两个安全漏洞

Microsoft Windows是微软发布的非常流行的操作系统。Windows的SMTP服务存在两个安全漏洞:Microsoft Windows SMTP服务DNS响应字段验证DNS欺骗漏洞,Windows系统中的SMTP服务没有检查从网络接收到的DNS响应的ID字段值是否与之前所发送的DNS查询报文的ID字段值相匹配,恶意服务器可以通过返回伪造的查询响应执行中间人等网络欺骗攻击;Microsoft Windows SMTP服务可预测DNS查询ID漏洞,即Windows系统中的SMTP服务所生成的DNS查询中的transaction ID字段值是可预测的,恶意服务器可以相对容易的破解随机数,并通过伪造响应执行中间人等网络欺骗攻击。微软在4月发布的安全公告(MS10-024)已经修复了以上安全漏洞,建议尚未安装补丁的用户尽快下载使用。
参考链接:http://www.microsoft.com/technet/security/bulletin/MS10-024.mspx?pf=true

3、Microsoft Visio VISIODWG.DLL库缓冲区溢出漏洞

Visio是MSOffice套件中的图形编辑工具。Visio中所使用的VISIODWG.DLL库中存在缓冲区溢出漏洞,起因是在该库的74ef偏移处执行了不安全的strcpy调用。在将DXF文件注入到Visio文档中时(通过拖放操作或从菜单栏中选择“注入 -> CAD绘图”)会加载有漏洞的函数库。成功利用这个漏洞的攻击者可以以Visio用户权限执行任意代码。微软在4月发布的安全公告(MS10-028)已经修复了以上安全漏洞,建议尚未安装补丁的用户尽快下载使用。
参考链接:http://www.microsoft.com/technet/security/bulletin/MS10-028.mspx?pf=true

4、IBM Websphere应用服务器存在两个高危安全漏洞

IBM Websphere应用服务器以Java和Servlet引擎为基础,支持多种HTTP服务,可帮助用户完成从开发、部署到维护交互式动态网站的所有工作。IBM Websphere应用服务器存在两个高危安全漏洞:IBM WebSphere Application Server -trace选项信息泄露漏洞,在启用了-trace选项(也称为调试模式)的情况下,WebSphere应用服务器所执行的调试语句会打印出某些对象的字符串表示,本地用户可以通过读取、追踪上述输出获得敏感信息;IBM WebSphere Application Server SIP日志信息泄漏漏洞,在启用了完整SIP跟踪日志的配置下,服务器接收或发送SIP消息时,会把整个SIP消息写到跟踪文件中,包括所有头字段和消息体信息,其中还可能包括敏感信息。目前厂商已经发布了升级补丁以修复这个安全问题,建议用户尽快下载使用。
参考链接:http://www.ibm.com/support/docview.wss?rs=180&uid=swg27004980

5、OpenTTD存在多个安全漏洞

OpenTTD是一款Microprose发行的运输大亨豪华版(TTD) 游戏的开源版。OpenTTD存在多个安全漏洞,恶意用户可利用漏洞进行拒绝服务攻击。具体漏洞信息为:OpenTTD密码请求处理远程拒绝服务漏洞、OpenTTD地图不完全下载消耗文件描述符导致远程拒绝服务漏洞、OpenTTD远程代码执行漏洞。目前,OpenTTD 1.0.1已经修复了该漏洞,建议用户尽快下载使用。
参考链接:http://www.openttd.org/

小结:本周CNVD所整理的漏洞信息中,暴风影音播放器、Windows的SMTP服务、Visio编辑工具、IBM Websphere应用服务器等流行软件均出现了严重漏洞。危害我国网民的用网安全,请广大用户注意采取安全防范措施,尽快下载相关补丁程序。



本周重要漏洞修补信息

1、Red Hat Bugzilla安全公告

Red Hat Bugzilla于5月7日发布了安全公告(Bug 572971)以及相应补丁,修复了Red Hat Xen MMIO指令解码器本地客户机拒绝服务漏洞。建议用户尽快下载使用,避免本地攻击者利用漏洞使应用程序崩溃。
补丁下载链接:https://bugzilla.redhat.com/show_bug.cgi?id=572971

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论