近日重点网络安全漏洞情况摘报(近期重大网络安全事件)
大家好,小编近日将国内主流网络安全媒体发布的重要网络安全漏洞进行了梳理汇总,在这里分享给大家学习。让我们来共同提升网络安全防范意识吧!
1. 亚控科技组态王(KingView)存在本地提权高危漏洞
组态王(KingView)是北京亚控科技公司在国内率先推出的工业组态软件产品。该产品存在本地提权高危漏洞,攻击者可利用漏洞提交特制请求在应用程序上下文执行任意代码。可影响北京亚控科技发展有限公司组态王(KingView) 6.60 SP3产品。厂商尚未提供漏洞修补方案,请关注厂商主页及时更新。
2. 雷风影视CMS存在命令执行高危漏洞
雷风影视CMS是一款采用PHP基于THINKPHP3.2.3框架开发,适合各类视频、影视网站的影视内容管理程序。雷风影视CMS存在命令执行高危漏洞,攻击者可利用该漏洞获取网站服务器控制权。可影响雷风影视CMS v3.8.6产品。厂商尚未提供修复方案,请关注厂商主页更新。
3.用友U商城存在SQL注入高危漏洞
用友U商城实现多维度商品管理、个性购物体验、全面会员管理,提供灵活营销管理、线上线下整合、全渠道O2O营销方案。用友u商城存在SQL注入高危漏洞,攻击者可利用漏洞获取数据库敏感信息。可影响用友网络科技股份有限公司U商城产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
4.Microsoft Windows Domain Name System存在远程代码执行高危漏洞
Microsoft Windows 7/8/10等是美国微软(Microsoft)公司发布的系列操作系统,Windows Domain Name System(DNS)是其中一套域名系统服务器。Microsoft Windows DNS服务器存在远程代码执行高危漏洞,攻击者可利用该漏洞在本地系统帐户上下文中运行任意代码。可影响Microsoft Windows Server 2012 R2、Microsoft Windows 10 1607/1709/1803/1809、Microsoft Windows Server 1709/1803/2016/2019 产品。厂商已发布漏洞修复程序。
5.rssh存在远程命令执行高危漏洞
rssh是一款应用于Linux的Shell,可为特定用户提供通过scp和sftp登陆某系统的权限。rssh存在远程命令执行高危漏洞,攻击者可利用漏洞运行受影响应用程序的用户上下文中执行任意命令。可影响rssh产品。厂商已发布漏洞修复程序。
6.Keybase存在权限许可和访问控制高危漏洞
Keybase是一套基于PGP技术、支持端到端加密的社交网络平台。该平台macOS版本存在权限许可和访问控制高危漏洞,攻击者可利用该漏洞提升权限。可影响Keybase <2.12.6产品。厂商已发布了漏洞修复程序。
7.ACD Systems Canvas Draw存在越界写入高危漏洞
ACD Systems Canvas Draw是美国ACD Systems公司一款图形编辑工具,用于创建和编辑图像等。该产品中CALS Raster文件解析功能存在越界写入高危漏洞,攻击者可借助特制CAL图像覆盖任意数据并执行代码。可影响ACD Systems Canvas Draw 5.0.0.28产品。厂商已发布漏洞修复程序。
8.HisiPHP存在代码执行高危漏洞
HisiPHP是基于ThinkPHP5 Layui开发的一套免费WEB开源框架。该框架存在代码执行高危漏洞,攻击者可利用该漏洞执行任意代码。可影响HisiPHP 1.0.8产品。厂商尚未提供漏洞修复方案,请关注厂商主页更新。
9.海康威视视频播放库SDK存在拒绝服务中危漏洞
海康威视播放库SDK是海康威视嵌入式网络硬盘录像机、视频服务器、IP设备配套产品的播放相关二次开发包。海康威视视频播放库SDK存在拒绝服务漏洞,攻击者可利用漏洞导致拒绝服务。可影响海康威视播放库SDK(for Windows x32) V7.4.1产品。厂商尚未提供漏洞修补方案,请关注厂商主页及时更新。
10. Google Chrome存在安全绕过中危漏洞
Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。基于iOS平台的Google Chrome存在安全绕过中危漏洞,该漏洞源于程序未能正确处理googlechrome:// URL scheme 。远程攻击者可借助特制HTML页面利用该漏洞绕过安全限制。可影响Google Chrome <70.0.3538.67产品。厂商已发布漏洞修复程序。
11、runc容器存在逃逸高危漏洞
runc是一个用于产生和运行容器的开源命令行工具,广泛应用于Docker、Kubernetes等其他依赖于容器的程序中。该工具存在逃逸漏洞,攻击者将容器中的目标二进制文件替换为返回的runC二进制文件,通过附加特权容器(将其连接到终端)或使用恶意镜像启动并执行文件。漏洞编号:CVE-2019-5736。可影响LXC容器、Apache Mesos、runc 所有版本。厂商已发布漏洞修复程序。
