登录  免费注册
当前位置:首页 > 周报 > 正文

上周关注度较高的产品安全漏洞(20200106-20200112)

2020-01-13 11:25:10

一、境外厂商产品漏洞

1、多款Apple产品Kernel组件类型混淆漏洞

Apple iOS等都是美国苹果(Apple)公司的产品。Apple iOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple watchOS是一套智能手表操作系统。Kernel是其中的一个内核组件。多款Apple产品中的Kernel组件存在类型混淆漏洞。攻击者可利用该漏洞造成系统意外终止或写入内核内存。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-00535

2、Google Android Framework权限提升漏洞(CNVD-2020-01294)

Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。Framework是其中的一个Android框架组件。Android中的Framework存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01294

3、Mozilla Firefox和Mozilla Firefox ESR缓冲区溢出漏洞(CNVD-2020-01177)

Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。基于Windows平台的Mozilla Firefox 72之前版本和Mozilla Firefox ESR 68.4之前版本中存在缓冲区溢出漏洞。远程攻击者可借助特制的网站利用该漏洞损坏内存,在目标系统上执行任意代码,可能完全入侵受影响的系统。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01177

4、Docker docker-credential-helpers资源管理错误漏洞

Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。docker-credential-helpers是一款使用Go语言编写的、用于保护Docker凭证的程序。Docker中的docker-credential-helpers存在资源管理错误漏洞,该漏洞源于在对对象执行释放操作之前,程序没有检测该对象是否存在。本地攻击者可用该漏洞提升权限并执行代码。 

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01187

5、Mozilla Firefox和Firefox ESR栈缓冲区溢出漏洞(CNVD-2020-01180)

Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Firefox 71之前版本和Firefox ESR 68.3之前版本存在栈缓冲区溢出漏洞。该漏洞源于在WebRTC中在Windows上设置线程名称期间处理参数数量时存在边界错误。远程未认证攻击者可通过创建特制网页并诱使受害者访问该网页利用该漏洞在目标系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-01180

 

二、境内厂商产品漏洞

1、Huawei M5 lite 10输入验证错误漏洞

Huawei M5 lite 10是中国华为(Huawei)公司的一款平板电脑。Huawei M5 lite 108.0.0.182(C00)版本中存在输入验证错误漏洞,该漏洞源于输入校验存在逻辑错误。攻击者可利用该漏洞修改设备的内存,执行恶意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-00517

2、海昌协同办公系统存在SQL注入漏洞

武汉海昌信息技术有限公司是从事办公自动化软件、协同管理软件及电子政务软件研发与销售的高科技企业。海昌协同办公系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-00782

3、WebOA网络办公自动化软件存在SQL注入漏洞(CNVD-2019-45143)

WebOA网络办公自动化软件是一款公司员工通过浏览器就可以下载上传共享的信息的办公软件。WebOA网络办公自动化软件存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-45143

4、H3C S5120V2-SI系列交换机存在拒绝服务漏洞

H3C S5120V2-SI交换机是新华三技术有限公司(以下简称H3C公司)自主开发的二层千兆以太网交换机产品,是为要求具备高性能、高端口密度且易于安装的网络环境而设计的第二代智能型可网管交换机。在企业网中,可以作为接入设备提供千兆到桌面应用;在城域网或者行业用户中,向下可以提供千兆接入最终用户或汇接低端交换机,向上可以通过千兆万兆光纤或者链路聚合汇聚到大容量的L3交换机。H3C S5120V2-52P-SI交换机存在拒绝服务漏洞,攻击者可利用该漏洞通过构造特殊数据报文,可绕过访问控制列表(ACL),导致TELNET服务拒绝响应,交换机脱离管理。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-00783

5、云业CMS in***.php页面YU***_us***参数存在SQL注入漏洞

云业CMS是一款由洛阳云业信息科技有限公司开发的企业建站系统。云业CMS in***.php页面YU***_us***参数存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2019-46744

 

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论