資安通告:9/23~9/30資安弱點威脅彙整週報
2017/10/06
風險等級: 中度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
DAJ i-filter installer 3 i-filter 6.0 installer 和 i-filter 6.0 install program 檔案 1.0.8.15 之前版本中存在不信任的搜尋路徑弱點。遠端攻擊者可利用該弱點取得權限或執行任意指令。 CVE-2017-10858
CVE-2017-10859
CVE-2017-10860
Google Android 1 Android 中的 Qualcomm 網路驅動程序 drivers/net/ethernet/msm/rndis_ipa.c 檔案存在弱點。遠程攻擊者可利用該弱點提升權限並執行任意指令。 CVE-2016-5868
IBM Business Process Manager 1 IBM Business Process Manager 7.5, 8.0, 8.5 版本存在 XML 外部實體注入弱點 ( XML External Entity Injection )。遠端攻擊者可利用該弱點暴露敏感資訊或消耗記憶體資源。 CVE-2017-1527
Sam2p_projectSam2p1sam2p 0.49.3版本中存在安全性弱點。遠端攻擊者可利用該弱點造成記憶體損壞。
CVE-2017-14636
Sam2p_projectSam2p1sam2p 0.49.3版本中存在安全性弱點。遠端攻擊者可利用該弱點造成緩衝區溢位。
CVE-2017-14637
Schneider electricu.motion builder4Schneider Electric U.motion Builder 1.2.1及之前的版本中,存在多個安全弱點,攻擊者可利用這些弱點進行資料庫攻擊或繞過身份驗證等手法。
CVE-2017-7973
CVE-2017-7974
CVE-2017-9956
CVE-2017-9957
Trend MicroMobile Security (Enterprise)2Trend Micro Mobile Security (Enterprise) 9.7更新檔3 之前版本存在多個弱點,可能允許遠端攻擊者執行任意碼或造成異常存取。CVE-2017-14078
CVE-2017-14080
Trend Microweb_security_virtual_appliance1Trend Micro 虛擬應用網頁 server 6.5 版本中存在檢查參數的弱點,可被潛在的攻擊者遠端注入代碼。CVE-2017-11396
Xceediumxsuite1xsuite 在2.3.0和2.4.3.0版本中存在多個硬編碼的憑據。CVE-2015-4667

註:中低風險弱點資訊請參考US-CERT網站

影響系統:
    受影響廠牌如下:
  • DAJ
  • Google
  • IBM
  • Sam2p_project
  • Schneider electric
  • Trendmicro
  • Xceedium

解決辦法: 詳細資訊請參考CVE ID之連結
細節描述: 詳細資訊請參考CVE ID之連結
參考資訊: US-CERT (2017/10/02)