CNNVD最新漏洞(2018-10-31)
今日CNNVD共发布安全漏洞95个,更新安全漏洞15个。主要影响厂商为美国Qualcomm(21个)、中国腾达(10个)、中国云优(7个)。主要影响产品为Qualcomm SD 835中央处理器(8个)、Tenda AC7无线路由器(9个)YUNUCMS内容管理系统(7个)。
今日需关注的典型漏洞如下:
【漏洞名称】Qualcomm SD 835、SD 845和SD 850 WLAN 缓冲区错误漏洞
【漏洞编号】CNNVD-201810-1398(CVE-2018-11856)
【漏洞详情】Qualcomm SD 835、SD 845和SD 850都是美国高通(Qualcomm)公司的中央处理器(CPU)产品。WLAN是其中的一个无线局域网组件。
Qualcomm SD 835、SD 845和SD 850(用于移动设备)中的WLAN存在缓冲区溢出漏洞,该漏洞源于程序没有正确地进行输入验证。本地攻击者可利用该漏洞执行任意代码或造成拒绝服务。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qualcomm.com/company/product-security/bulletins
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1398
【漏洞名称】多款Tenda产品httpsd 缓冲区错误漏洞
【漏洞编号】CNNVD-201810-1337(CVE-2018-18706)
【漏洞详情】Tenda AC7等都是中国腾达(Tenda)公司的无线路由器产品。httpsd是其中的一个HTTP服务器组件。
多款Tenda产品中的httpsd存在缓冲区溢出漏洞。攻击者可利用该漏洞造成拒绝服务(覆盖函数的返回地址)。以下产品和版本受到影响:Tenda AC7 V15.03.06.44_CN版本;AC9 V15.03.05.19(6318)_CN版本;AC10 V15.03.06.23_CN版本;AC15 V15.03.05.19_CN版本;AC18 V15.03.05.19(6318)_CN版本。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.yunucms.com/
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1337
【漏洞名称】YUNUCMS 跨站脚本漏洞
【漏洞编号】CNNVD-201810-1347(CVE-2018-18720)
【漏洞详情】YUNUCMS是中国云优(YUNU)网络科技公司的一套开源的企业建站内容管理系统(CMS)。
YUNUCMS 1.1.5版本中的index.php/admin/system/basic存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.yunucms.com/
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1347
【漏洞名称】IBM InfoSphere Master Data Management 安全漏洞
【漏洞编号】CNNVD-201810-1396(CVE-2018-1380)
【漏洞详情】IBM InfoSphere Master Data Management(MDM)是美国IBM公司的一套用于帮助组织管理整个企业范围内的主数据(关于客户、供应商、产品和帐户的信息)的解决方案。该方案支持通过协作、操作和分析这三种主数据使用风格集中多个数据领域。IBM InfoSphere Master Data Management-Collaborative Edition是它的协作版本。
IBM InfoSphere MDM-Collaborative Edition 11.4版本,11.5版本和11.6版本中存在安全漏洞。攻击者可利用该漏洞修改ca-id和读取敏感信息。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/docview.wss?uid=ibm10735411
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1396
【漏洞名称】Android Video组件信息泄露漏洞
【漏洞编号】CNNVD-201810-1397(CVE-2017-18281)
【漏洞详情】Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Video是其中的一个视频组件。
Android中的Video组件存在信息泄露漏洞,该漏洞源于程序在读取布尔变量之前将其强制转换成整型。攻击者可利用该漏洞查看敏感信息。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://source.android.com/security/bulletin/2018-08-01
【漏洞链接】
https://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1397
新增漏洞信息如下表所示:
国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:
https://www.cnnvd.org.cn/web/vulnerability/querylist.tag
