資安通告:4/15~4/21資安弱點威脅彙整週報
2017/04/28
風險等級: 中度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
Apache Tomcat>
Traffic Server
21.Apache Tomcat 9.0.0.M1版本至9.0.0.M18版本和8.5.0版本至8.5.12版本中存在安全弱點,可被攻擊者利用造成回應混淆。2.Apache Traffic Server 6.0.0版本至6.2.0版本中存在安全弱點,可被攻擊者利用執行HPACK炸彈攻擊。CVE-2017-5651
CVE-2016-5396
FfmpegFfmpeg5FFmpeg多個版本中,有函數堆疊的緩衝區溢位弱點,攻擊者可利用該弱點造成拒絕服務(越邊界寫入)。
CVE-2017-7859
CVE-2017-7862
CVE-2017-7863
CVE-2017-7865
CVE-2017-7866
FlatcoreFlatcore cms1FlatCore1.4.6版本中有SQLInjection弱點,允許攻擊者讀取和寫入用戶資料庫。
CVE-2017-7878
FreeTypeFreeType23FreeType 2 2016-12-16之前的版本中存在緩衝區溢位弱點。攻擊者可利用該弱點造成拒絕服務。
CVE-2016-10328
CVE-2017-7857
CVE-2017-7864
FreeTypeFreeType21FreeType 2 2017-03-07之前的版本中存在安全弱點。攻擊者可利用該弱點造成拒絕服務。
CVE-2017-7858
GoogleAndroid1Android Nexus 6和Android One設備的高通元件存在弱點,可能導致未知的風險。CVE-2016-6726
GrpcGrpc2Google gRPC 2017-02-22之前版本存在超出範圍寫入的問題,可能導致破壞程式執行、並取得程式或系統的控制權。CVE-2017-7860
CVE-2017-7861
LibreOffice LibreOffice 4 LibreOffice 2017-03-14 之前版本中的多個函式存在堆積緩衝區溢位弱點。攻擊者可利用該弱點造成越界寫入。 CVE-2016-10327
CVE-2017-7856
CVE-2017-7870
CVE-2017-7882
Linux Linux kernel 1 Linux kernel 4.10.11 之前版本中的 nfsd 子系統的 NFSv2/NFSv3 伺服器存在弱點。遠端攻擊者可藉助較長的 RPC 回應利用該弱點造成阻斷服務。 CVE-2017-7645

註:中低風險弱點資訊請參考US-CERT網站

影響系統:
    受影響廠牌如下:
  • apache
  • ffmpeg
  • flatcore
  • freetype
  • google
  • grpc
  • libreoffice
  • linux

解決辦法: 詳細資訊請參考CVE ID之連結
細節描述: 詳細資訊請參考CVE ID之連結
參考資訊: US-CERT
NIST