資安通告:3/18~3/24資安弱點威脅彙整週報
2017/04/06
風險等級: 中度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
CanonicalUbuntu Linux4ImageMagick 6.8.9.9存在多個弱點,可允許遠端攻擊者造成未知影響。CVE-2014-9841
CVE-2014-9843
CVE-2014-9846
CVE-2014-9847
CerberusCerberus FTP Server1Cerberus FTP Server 8.0.10.3版本中存在緩衝區溢位弱點,遠端攻擊者可透過發送長指令來造成阻斷服務攻擊。CVE-2017-6880
Chef Manage Project Chef Manage 1 Chef Manage 2.1.0 至 2.4.4 版本中的新增使用者帳戶功能存在弱點。遠端攻擊者可利用該弱點執行任意指令。 CVE-2017-7174
Erlang Erlang/OTP 1 Erlang/OTP 18.x 版本中的正規表示式存在堆積緩衝區溢位弱點。攻擊者可利用該弱點任意讀取與寫入。 CVE-2016-10253
GNU Binutils 1 GNU Binutils 2.26之前版本中的 ihex.c 檔案存在堆疊緩衝區溢位弱點。攻擊者可利用該弱點進行攻擊。 CVE-2014-9939
IBM WebSphere MQ 1 IBM WebSphere MQ 8.0.0.6 版本中存在弱點。攻擊者可利用該弱點造成阻斷服務。 CVE-2017-1145
Juniper Networks Junos Space2Juniper Networks Junos Space 15.2R2之前版本存在多個安全弱點,可被攻擊者利用以root權限執行任意程式碼與未授權操作。CVE-2016-4926
CVE-2016-4929
Kinsey Infor-Lawson1Kinsey Infor-Lawson中存在SQL注入弱點,可被遠端攻擊者利用‘TABLE’或‘QUERY’參數執行任意SQL指令。CVE-2017-6550
NetiqAccess governance suite1NetIQ Access Governance Suite 6.0至6.4版本中存在提權弱點。攻擊者可利用該弱點獲取管理員權限。
CVE-2016-1597
NetiqAccess manager1NAM 4.1.2 Hot Fix 1之前的4.1版本,和NAM 4.2.2 Hot Fix 1之前的4.2版本,iManager Admin Console存在安全弱點。遠端攻擊者可利用該弱點獲取授權證書的存取權限。
CVE-2016-5757
OpeninfosecfoundationSuricata1Suricata 2.0.6之前版本中的''MemcmpLowercase''函數存在安全弱點。遠端攻擊者可通過發送特製的HTTP請求,利用該弱點繞過入侵防禦功能。
CVE-2015-8954
0
Pluck cmsPluck1Pluck CMS 4.7.2版本中存在安全弱點。遠端攻擊者可藉由日誌表單功能執行任意程式碼。
CVE-2014-8708
qdPMqdPM1qdPM 8.3版本中的多個頁面存在任意文件上傳弱點。遠端攻擊者可通過向uploads/attachments/或uploads/users/中發送直接請求利用該弱點執行任意代碼。
CVE-2015-3884
WondercmsWondercms1Wonder CMS 2014版本中的index.php文件存在跨目錄存取弱點。遠程攻擊者可藉助特製的''theme''利用該弱點讀取文件。
CVE-2014-8704
WondercmsWondercms1Wonder CMS 2014版本中的editInplace.php文件存在PHP遠端檔案植入弱點。遠端攻擊者可藉助''hook''參數中的URL利用該弱點執行任意的PHP代碼。
CVE-2014-8705
XrdpXrdp1xrdp 0.9.1版本中存在安全弱點,該弱點源於PAM會話模塊沒有正確初始化。攻擊者可利用該弱點造成配置錯誤,提升權限。
CVE-2017-6967

註:中低風險弱點資訊請參考US-CERT網站

影響系統:
    受影響廠牌如下:
  • Canonical
  • Cerberus
  • Chef Manage Project
  • Erlang
  • QUN
  • IBM
  • Imagemagick
  • Juniper
  • Kinsey
  • Netiq
  • Openinfosecfoundation
  • Pluck cms
  • Qdpm
  • Wondercms
  • Xrdp

解決辦法: 詳細資訊請參考CVE ID之連結
細節描述: 詳細資訊請參考CVE ID之連結
參考資訊: US-CERT
NIST