07 2013 档案
摘要:漏洞版本:Apache 2.4.2漏洞描述:BUGTRAQ ID: 61379CVE(CAN) ID: CVE-2013-2249Apache HTTP Server是开源HTTP服务器。Apache HTTP Server 2.4.6之前版本的mod_session_dbd模块在保存会话过程中处理“脏旗标”时出错,存在远程安全漏洞,影响目前未知。安全建议:厂商补丁:Apache Group------------Apache Group已经为此发布了一个安全公告(Announcement2.4)以及相应补丁:Announcement2.4:Apache HTTP Server 2.4.6 .
阅读全文
摘要:漏洞版本:MongoDB 2.4.0-2.4.4MongoDB 2.5.0漏洞描述:CVE ID: CVE-2013-4650MongoDB是一个高性能,开源,无模式的文档型数据库,是当前NoSql数据库中比较热门的一种MongoDB处理权限检查存在一个安全漏洞,允许借助任意数据库中的_system用户名来获得内部系统权限安全建议:厂商解决方案MongoDB 2.4.5或2.5.1已经修复此漏洞,建议用户下载更新:http://www.mongodb.org
阅读全文
摘要:漏洞版本:MongoDB 2.4.0-2.4.4漏洞描述:CVE ID:CVE-2013-4142MongoDB是一个高性能,开源,无模式的文档型数据库,是当前NoSql数据库中比较热门的一种MongoDB "mongo::mongoFind()"函数(src/mongo/scripting/v8_db.cpp)在解析规则表达式时存在一个安全漏洞,允许对MongoDB数据库进行读写访问的用户执行任意代码,拥有只读访问权限的用户可使数据库崩溃。目前还不确定是否是2.2.3版本引入使用的V8 JavaScript引擎而引起的问题安全建议:厂商解决方案MongoDB 2.4.5或
阅读全文
摘要:测试方法:提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!Advisory ID: HTB23162Product:DuplicatorWordPressPluginVendor:LifeInTheGridVulnerableVersion(s):0.4.4and probably priorTestedVersion:0.4.4VendorNotification:June19,2013VendorPatch:July21,2013PublicDisclosure:July24,2013VulnerabilityType:Cross-SiteScripting[CWE-79
阅读全文
摘要:漏洞名称:MongoDB ‘conn’Mongo 对象远程代码执行漏洞CNNVD编号:CNNVD-201307-497发布时间:2013-07-25更新时间:2013-07-25危害等级:漏洞类型:代码注入威胁类型:远程CVE编号:CVE-2013-3969漏洞来源:SCRT SecurityMongoDB是美国10gen公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。MongoDB中存在远程代码执行漏洞,该漏洞源于程序没有正确过滤用户提交的输入。攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码。MongoDB 2.4.4版本中存在漏
阅读全文
摘要:漏洞名称:Linux Kernel 本地拒绝服务漏洞CNNVD编号:CNNVD-201307-499发布时间:2013-07-24更新时间:2013-07-24危害等级:漏洞类型:威胁类型:本地CVE编号:CVE-2013-4163漏洞来源:Hannes Frederic SowaLinux Kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核。Linux kernel中存在本地拒绝服务漏洞。攻击者可利用该漏洞造成内核崩溃,导致拒绝服务。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.kernel.org/来源: BID名称: 61412
阅读全文
摘要:漏洞名称:Linux Kernel ‘skbuff.c’本地拒绝服务漏洞CNNVD编号:CNNVD-201307-498发布时间:2013-07-24更新时间:2013-07-24危害等级:漏洞类型:威胁类型:本地CVE编号:CVE-2013-4162漏洞来源:Hannes Frederic SowaLinux Kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核。Linux kernel中存在本地拒绝服务漏洞。攻击者可利用该漏洞造成内核崩溃,导致拒绝服务。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.kernel.org/来源: BI
阅读全文
摘要:漏洞名称:WordPress Citizen Space插件跨站请求伪造漏洞CNNVD编号:CNNVD-201307-463发布时间:2013-07-23更新时间:2013-07-23危害等级:漏洞类型:跨站请求伪造威胁类型:远程CVE编号:Citizen Space是用于WordPress中的一个扩展插件,该插件的作用是通过API访问Citizen Space网站。WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress的Citizen Space插件中存在跨站请求伪造漏洞。攻击者可利用该
阅读全文
摘要:漏洞版本:OpenSSH漏洞描述:Bugtraq ID:61286OpenSSH是一种开放源码的SSH协议的实现OpenSSH存在一个安全漏洞,允许远程攻击者利用漏洞提交恶意请求,使应用程序崩溃,造成拒绝服务攻击安全建议:厂商解决方案目前没有详细解决方案提供:http://www.openssh.com/
阅读全文
摘要:漏洞名称:Linux Kernel 远程拒绝服务漏洞CNNVD编号:CNNVD-201307-309发布时间:2013-07-18更新时间:2013-07-18危害等级:漏洞类型:威胁类型:远程CVE编号:CVE-2013-4129漏洞来源:Herbert XuLinux Kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核。Linux kernel中存在远程拒绝服务漏洞。攻击者可利用该漏洞造成内核崩溃,拒绝服务合法用户,也可能以内核特权执行任意代码。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.kernel.org/来源: BID名称:
阅读全文
摘要:漏洞名称:Linux Kernel 释放后重用内存损坏漏洞CNNVD编号:CNNVD-201307-305发布时间:2013-07-18更新时间:2013-07-18危害等级:漏洞类型:威胁类型:远程CVE编号:CVE-2013-4127漏洞来源:Red HatLinux Kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核。Linux Kernel中存在释放后重用内存损坏漏洞。攻击者可利用该漏洞在程序上下文中执行任意代码或损坏内核内存,也可能导致拒绝服务。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.kernel.org/来源: BID
阅读全文
摘要:漏洞版本:Struts 测试方法:本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!http://www.example.com/struts2-showcase/fileupload/upload.action?redirect:http://www.example.com/http://www.example.com/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.example.com/%23安全建议:厂商补丁:Apache Group------------厂商已经发
阅读全文
摘要:漏洞版本:Apache HTTP Server 安全建议:http://www.apache.org/dist/httpd/Announcement2.2.htmlhttp://svn.apache.org/viewvc/httpd/httpd/trunk/modules/dav/main/mod_dav.c?view=loghttp://svn.apache.org/viewvc/httpd/httpd/trunk/modules/dav/main/mod_dav.c?r1=1482522&r2=1485668&diff_format=h
阅读全文
摘要:漏洞版本:WordPress 2.7.xWordPress 2.8.xWordPress 2.9.xWordPress 3.0.xWordPress 3.1.xWordPress 3.2.xWordPress 3.3.xWordPress 3.4.xWordPress 3.5漏洞描述:WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志WordPress 'wp-admin/users.php'脚本不正确过滤's'参数的数据,允许远程攻击者利用漏洞提交类似http://site/wp-admin/u
阅读全文
摘要:Struts又爆远程代码执行漏洞!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码。Struts2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。描述影响版本 Struts 2.0.0 - Struts 2.3.15报告者 Takeshi Terada of Mitsui Bussan Secure Directions, Inc.CVE编号 CVE-2013-2251漏洞证明参数会以OGNL表达式执行http://host/struts2-blank/example/X.action?act...
阅读全文
摘要:漏洞名称:Linux kernel ‘fib6_add_rt2node’函数安全漏洞CNNVD编号:CNNVD-201307-265发布时间:2013-07-16更新时间:2013-07-16危害等级:漏洞类型:威胁类型:远程CVE编号:CVE-2013-4125Linux Kernel是美国Linux基金会发布的一款开源操作系统Linux所使用的内核。Linux kernel 3.10.1及之前的版本中的IPv6栈中的net/ipv6/ip6_fib.c中的‘fib6_add_rt2node’函数中存在漏洞,该漏洞源于在ECMP路由集中初始即获得集员资格的三个路由路径前两个路由中一个发生变化
阅读全文
摘要:测试方法:本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!#nginx 1.3.9/1.4.0 x86 brute force remote exploit# copyright (c) 2013 kingcope#----------------------------#fix for internet exploitation, set MTU:#ifconfig mtu 60000 up##### !!! WARNING !!!# this exploit is unlikely to succeed when used against remote intern.
阅读全文
摘要:漏洞版本:Apache Group CXF 测试方法:本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负![thousands more]安全建议:厂商补丁:Apache Group------------Apache Group已经为此发布了一个安全公告(CVE-2013-2160)以及相应补丁:CVE-2013-2160:Denial of Service Attacks on Apache CXF链接:http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&mo
阅读全文
摘要:漏洞版本:phpMyAdmin 安全建议:厂商补丁:phpMyAdmin----------phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-7)以及相应补丁:PMASA-2013-7:PMASA-2013-7链接:http://www.phpmyadmin.net/home_page/security/PMASA-2013-7.php补丁下载:https://github.com/phpmyadmin/phpmyadmin/commit/012464268420e53a9cd81cbb4a43988d70393c36
阅读全文
摘要:漏洞名称:Linux kernel ‘key_notify_policy_flush’函数信息泄露漏洞CNNVD编号:CNNVD-201307-072发布时间:2013-07-05更新时间:2013-07-05危害等级:漏洞类型:信息泄露威胁类型:本地CVE编号:CVE-2013-2237Linux Kernel是美国Linux基金会发布的一款开源操作系统Linux所使用的内核。Linux kernel 3.9之前的版本中的net/key/af_key.c中的‘key_notify_policy_flush’函数中存在信息泄露漏洞,该漏洞源于程序没有初始化某些结构成员变量。本地攻击者可通过读取
阅读全文
摘要:漏洞名称:Linux kernel ‘net/key/af_key.c’信息泄露漏洞CNNVD编号:CNNVD-201307-071发布时间:2013-07-05更新时间:2013-07-05危害等级:漏洞类型:信息泄露威胁类型:本地CVE编号:CVE-2013-2234Linux Kernel是美国Linux基金会发布的一款开源操作系统Linux所使用的内核。Linux kernel 3.10之前的版本中的net/key/af_key.c中的‘key_notify_sa_flush’和‘key_notify_policy_flush’函数中存在信息泄露漏洞,该漏洞源于程序没有初始化sadb_
阅读全文
摘要:漏洞名称:Linux kernel ‘ip6_sk_dst_check’函数拒绝服务漏洞CNNVD编号:CNNVD-201307-070发布时间:2013-07-05更新时间:2013-07-05危害等级:漏洞类型:威胁类型:本地CVE编号:CVE-2013-2232Linux Kernel是美国Linux基金会发布的一款开源操作系统Linux所使用的内核。Linux kernel 3.10之前的版本中的net/ipv6/ip6_output.c中的‘ip6_sk_dst_check’函数中存在漏洞。本地攻击者可通过使用AF_INET6套接字连接到IPv4接口,利用该漏洞造成拒绝服务(系统崩溃
阅读全文
摘要:漏洞名称:phpMyAdmin import.php 安全漏洞CNNVD编号:CNNVD-201307-068发布时间:2013-07-05更新时间:2013-07-05危害等级:漏洞类型:威胁类型:远程CVE编号:CVE-2013-4729phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的、MySQL数据库管理工具。它提供直观的Web界面、MySQL数据库管理、各种格式的数据导出等功能。phpMyAdmin 4.0.4.1之前的4.x版本中的import.php中存在漏洞,该漏洞源于程序没有正确限制输入数据到指定文件格式的能力。经过授权的攻击者可通过特制的请求利用该
阅读全文
摘要:漏洞名称:phpMyAdmin view_create.php 跨站脚本漏洞CNNVD编号:CNNVD-201307-066发布时间:2013-07-05更新时间:2013-07-05危害等级:漏洞类型:威胁类型:远程CVE编号:CVE-2013-3742phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的、MySQL数据库管理工具。它提供直观的Web界面、MySQL数据库管理、各种格式的数据导出等功能。phpMyAdmin 4.0.3及之前的4.x版本中的view_create.php (又名Create View页面)中存在跨站脚本漏洞。经过授权的远程攻击者可通过创
阅读全文
摘要:漏洞名称:Linux Kernel 空指针逆向引用拒绝服务漏洞CNNVD编号:CNNVD-201306-449发布时间:2013-07-01更新时间:2013-07-01危害等级:漏洞类型:威胁类型:远程CVE编号:CVE-2013-2206漏洞来源:Vlad YasevichLinux Kernel是美国Linux基金会发布的开放源码操作系统Linux所使用的内核。Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞使受影响计算机崩溃,拒绝服务合法用户。目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://www.kernel.org/来源: BID名称: 607
阅读全文
摘要:漏洞版本:WordPress 3.5.1漏洞描述:BUGTRAQ ID: 60477CVE(CAN) ID: CVE-2013-2173WordPress是一种使用PHP语言和MySQL数据库开发的Blog。WordPress的加密模块class-phpass.php中存在安全漏洞,可导致拒绝服务。要利用此漏洞需要至少一个帖子受到密码保护。安全建议:临时解决方法:在厂商发布补丁或者升级之前,Sebug建议您采取以下措施以降低威胁:--- wp-includes/class-phpass.php+++ wp-includes/class-phpass.php@@ -120,7 +120,7 @.
阅读全文
浙公网安备 33010602011771号