安全公告
-
2017-05-03
近日,Zabbix Server 2 4 X的trapper命令功能中被曝出存在可利用的代码执行漏洞(CVE-2017-2824)。 一组特制的数据包可能导致命令注入,导致远程执行代码。 攻击者可以从活动的Zabbix Proxy发出请求以触发此漏洞。该漏洞位于Zabbix代码的“Trapper”部分,这是允许代理和服务器通信的网络服务(TCP端口10051)。 CVSSV3 SCORE: 9 0 – CVSS:3 0 AV:N AC:H PR:N UI:N S:C C:H I:H A:H 参考链接: http: www talo
-
2017-05-02
近日,HP官方发布安全通告,在HPE智能管理中心(iMC)PLAT中已经发现了潜在的安全漏洞。这些漏洞可以远程利用,以允许代码执行。 CVE编号为CVE-2017-5804,CVE-2017-5805,CVE-2017-5806,CVSS评分如下: 针对本次安全问题,HP官方已经发布新版本。 参考链接: http: h20564 www2 hpe com hpsc doc public display?docId=emr_na-hpesbhf03738en_us http: www securityfocus com bid 98088 info 受影响的版本 官
-
2017-05-02
当地时间5月1日(北京时间5月2日上午),英特尔(Intel)官方发布安全公告,公告表明Intel旗下产品英特尔主动管理技术(AMT),英特尔标准可管理性(ISM)和英特尔小型企业技术版本中的固件版本6 x,7 x,8 x 9 x,10 x,11 0,11 5和11 6存在提权漏洞,可以使无特权攻击者获取这些产品的高级管理功能权限,CVE编号:CVE-2017-5689。 普通用户基于Intel的PC不受影响。 参考链接: http: www us-cert gov ncas current-
-
2017-04-29
当地时间2017年4月26日(北京时间2017年4月27日),软件集成平台Jenkins官方发布了安全通告,包含了更新修复程序,修复了数个安全漏洞(CVE-2017-1000356,CVE-2017-1000353,CVE-2017-1000354,CVE-2017-1000355)。 参考链接: http: www securityfocus com bid 98056 info http: seclists org oss-sec 2017 q2 132 http: jenkins io security advisory 2017-04-26 漏洞简述 CVE-2017-1000356 包含多个CSRF漏洞
-
2017-04-21
当地时间2017年4月19日(北京时间2017年4月20日),思科(Cisco)官方发布一条安全公告,公告显示思科集成管理控制器(Integrated Management Controller)IMC的基于Web的GUI中的漏洞(CVE-2017-6616)允许经过身份验证的远程攻击者在受影响的系统上执行任意代码。该漏洞是由于受影响的软件没有充分过滤和无害化用户提供的HTTP请求值。 攻击者可以通过向受影响的软件发送精心设计的HTTP请求来利用此漏洞,从而在受影响的系统
-
2017-04-20
当地时间2017年4月19日(北京时间2017年4月20日),ARM 旗下的mbedTLS被爆出存在一个远程代码执行漏洞(CVE-2017-2784)。ARM mbedTLS 2 4 0的x509证书解析代码中存在无可用的栈指针漏洞。 由mbedTLS库解析时,特制的x509证书可能造成无效的栈指针,从而导致潜在的远程代码执行。 利用此漏洞,攻击者可以充当网络上的客户端或服务器,将恶意x509证书传递给易受攻击的应用程序。官方已经发布相关补丁修复了该漏洞。 参