登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20191125-20191201)

2019-12-02 11:50:53

一、境外厂商产品漏洞

1、Google Chrome资源管理错误漏洞(CNVD-2019-42756)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome75.0.3770.142之前版本中存在安全漏洞。该漏洞源于系统对资源(如内存)的管理不当。远程攻击者可借助特制的HTML页面利用该漏洞造成堆破坏。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-42756

2、Linux kernel缓冲区溢出漏洞(CNVD-2019-42787)

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Linux kernel中存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-42787

3、Fortinet FortiClient命令注入漏洞(CNVD-2019-42446)

Fortinet FortiClient是美国飞塔(Fortinet)公司的一套移动终端安全解决方案。该方案与FortiGate防火墙设备连接时可提供IPsec和SSL加密、广域网优化、终端合规和双因子认证等功能。基于Linux平台的Fortinet FortiClient 6.2.1及之前版本中存在命令注入漏洞,该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素,攻击者可利用该漏洞执行非法命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-42446

4、Microsoft Windows Hyper-V远程代码执行漏洞(CNVD-2019-42612)

Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Hyper-V是其中的一个虚拟化产品,支持在Windows中创建虚拟机。Microsoft Windows Hyper-V存在远程代码执行漏洞,攻击者可借助特制的应用程序利用该漏洞在主机操作系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-42612

5、Intel Graphics Driver内存破坏漏洞(CNVD-2019-42247)

Intel Graphics Driver是Intel显卡驱动程序。Intel Graphics Driver26.20.100.6813 (DCH)和26.20.100.6812之前版本中的内核模式驱动程序存在内存破坏漏洞。攻击者可利用该漏洞实现权限提升。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-42247

 

二、境内厂商产品漏洞

1、泛微e-cology va***.jsp存在SQL注入漏洞

泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。泛微e-cology va***.jsp存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41610

2、网康下一代防火墙存在未授权访问漏洞

网康下一代防火墙是网康科技推出的一款可全面应对网络威胁的高性能应用层防火墙。网康下一代防火墙存在未授权访问漏洞,攻击者可利用该漏洞执行命令、读取任意文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-21097

3、西安佰联网络技术有限公司建站系统存在SQL注入漏洞

西安佰联网络技术有限公司是国内一家专业从事轴承行业管理软件开发和轴承行业门户网站设计的科技公司。西安佰联网络技术有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41683

4、昆仑通态MCGS触摸屏TPC1062Ti系统存在信息泄露漏洞

MCGS是北京昆仑通态自动化软件科技有限公司研发的一套基于Windows平台的,用于快速构造和生成上位机监控系统的组态软件系统,主要完成现场数据的采集与监测、前端数据的处理与控制,可运行于Microsoft Windows95/98/Me/NT/2000/xp等操作系统。昆仑通态MCGS触摸屏TPC1062Ti系统存在信息泄露漏洞,攻击者可以利用漏洞向特定端口发送特殊报文可以获取系统的关键信息,可以登录telnet服务器,查看关键系统,并可以进行任意操作。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41052

5、TAS管理控制台存在命令执行漏洞

TAS中间件作为企业级中间件产品,支持servlet2.5和jsp2.1规范,实现可视化发布标准war包应用程序、配置数据源、修改服务器配置、维护用户列表、管理集群等功能,管理功能强大。TAS管理控制台存在命令执行漏洞,攻击者可利用该漏洞获取管理员权限,执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-41399

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论