CNNVD最新漏洞(2018-09-06)
今日CNNVD共发布安全漏洞42个,更新安全漏洞3个。主要影响厂商为美国Red Hat(12个)、英国Opsview(5个)、美国Artifex Software(3个)。主要影响产品为Red Hat glusterfs server分布式文件系统(12个)、Opsview Monitor监控工具(5个)、Artifex Ghostscript解析器(3个)。
今日需关注的典型漏洞如下:
【漏洞名称】Red Hat glusterfs服务器RPC请求处理器组件安全漏洞
【漏洞编号】CNNVD-201809-126(CVE-2018-10930)
【漏洞详情】Red Hat glusterfs server是美国红帽(Red Hat)公司的一套开源的分布式文件系统。该系统主要为媒体流、数据分析以及其他数据和带宽密集型任务创建大型分布式存储解决方案。
Red Hat glusterfs服务器中的RPC请求处理器组件的‘gfs3_rename_req’函数存在安全漏洞。攻击者可利用该漏洞向gluster卷之外的位置执行写入操作。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://review.gluster.org/#/c/glusterfs/+/21068/
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-126
【漏洞名称】Opsview Monitor 命令注入漏洞
【漏洞编号】CNNVD-201809-153(CVE-2018-16144)
【漏洞详情】Opsview Monitor是英国Opsview公司的一套企业级的网络、服务器和应用程序监控工具。该工具可与Nagios Core、RRDTool等监控系统集成使用。
Opsview Monitor中的test connection功能存在命令注入漏洞,该漏洞源于程序没有正确地过滤‘rancid_password’参数。攻击者可利用该漏洞在操作系统上执行命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://knowledge.opsview.com/v5.3/docs/whats-new
https://knowledge.opsview.com/v5.4/docs/whats-new
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-153
【漏洞名称】Artifex Ghostscript 安全漏洞
【漏洞编号】CNNVD-201809-161(CVE-2018-16511)
【漏洞详情】Artifex Ghostscript是美国Artifex Software公司的一款开源的PostScript(一种用于电子产业和桌面出版领域的页面描述语言和编程语言)解析器,它可显示Postscript文件以及在非Postscript打印机上打印Postscript文件。
Artifex Ghostscript 9.24之前版本中的ztype存在类型混淆漏洞。远程攻击者可通过提交特制的PostScript利用该漏洞造成解析器崩溃。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.artifex.com/news/ghostscript-security-resolved/
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-161
【漏洞名称】Huawei Mate10 Pro 安全漏洞
【漏洞编号】CNNVD-201809-124(CVE-2018-7990)
【漏洞详情】Huawei Mate10 Pro是中国华为(Huawei)公司的一款智能手机产品。
Huawei Mate10 Pro 8.1.0.326(C00)之前版本存在安全漏洞。攻击者可利用该漏洞绕过FRP防护机制。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20180831-01-smartphone-cn
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-124
【漏洞名称】Sony Digital Paper App installer 安全漏洞
【漏洞编号】CNNVD-201809-142(CVE-2018-0656)
【漏洞详情】Sony Digital Paper App是日本索尼(Sony)公司的一套专用于Sony Digital Paper的文档管理软件。installer是它的安装程序。
Sony Digital Paper App 1.4.0.16050及之前版本中的installer存在不可信的搜索路径漏洞。攻击者可借助恶意的DLL利用该漏洞获取特权。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://esupport.sony.com/US/p/swu-download.pl?upd_id=10998&PASSVAL2=SMB.
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-142
新增漏洞信息如下表所示:
国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:
https://www.cnnvd.org.cn/web/vulnerability/querylist.tag
