資安通告:7/1~7/7資安弱點威脅彙整週報
2017/07/13
風險等級: 中度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
Cisco Elastic Services Controller 2 Cisco Elastic Services Controller (ESC) 2.3.1.434 之前版本和 2.3.2 之前版本中存在弱點。遠端攻擊者可利用該弱點將權限提升並執行惡意指令。 CVE-2017-6712
CVE-2017-6713
Cisco Ultra Services Framework 1 Cisco Ultra Services Framework 5.0.3 之前版本和 5.1 之前版本中的 AutoVNF 工具的符號鏈接創建功能存在弱點。遠端攻擊者可利用該弱點讀取敏感資訊或在系統上執行惡意指令。 CVE-2017-6708
CiscoUltra Services Framework Staging Sserver1Cisco Ultra Services Framework Staging Server 5.0.3之前的版本和5.1之前的版本中的AutoIT service存在弱點,遠端攻擊者能利用該弱點以root身份執行任意的Linux shell命令。
CVE-2017-6714
Humax DigitalHumax Digital HG100R2攻擊者可利用該弱點獲取備份文件中的根憑證。
CVE-2017-7315
CVE-2017-7317
PuppetMcollective1MCollective 2.10.4在之前版本中存在安全弱點。攻擊者可利用該弱點在服務器上執行任意指令。
CVE-2017-2292
VideolanVlc media player1avcodec 2.2.x,如果在2011-06-29之前2.2.7-x版本的VideoLAN VLC 媒體播放器,被允許使用具有錯誤大小的memcpy()而超寫記憶體,導致應用服務意外中止或可能的指令執行。
CVE-2017-10699
XenXen3Xen 4.8.x 版存在多重安全弱點,可讓客戶端電腦(Guest OS) 取得主電腦(Host OS) 存取權限,或對主電腦執行阻斷服務攻擊(空指標引用 與主電腦意外中止)。CVE-2017-10912
CVE-2017-10917
CVE-2017-10918
XoevOSCI Transport Library1OSCI傳輸庫1.6.1 (Java)版本和OSCI傳輸庫1.6 (.NET)版本中的OSCI-Transport 1.2 版本存在XML外部實體注入弱點,可被攻擊者利用發送特製但符合標準的OSCI 訊息執行攻擊行為。CVE-2017-10670

註:中低風險弱點資訊請參考US-CERT網站

影響系統:
    受影響廠牌如下:
  • Cisco
  • Humax Digital
  • Puppet
  • Videolan
  • Xen
  • Xoev

解決辦法: 詳細資訊請參考CVE ID之連結
細節描述: 詳細資訊請參考CVE ID之連結
參考資訊: US-CERT (2017/07/10)