CNNVD最新漏洞(2018-03-26)
今日CNNVD共发布安全漏洞58个,更新安全漏洞10个。主要影响厂商为美国IBM(9个)、美国AMD(7个)、美国F5(5个)。主要影响产品为IBM DB2数据库管理系统(6个)、AMD Ryzen和Ryzen Pro中央处理器(4个)、F5 BIG-IP LTM等管理器(5个)。
今日需关注的典型漏洞如下:
【漏洞名称】IBM DB2 GSKit 安全漏洞
【漏洞编号】CNNVD-201803-820(CVE-2018-1428)
【漏洞详情】IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。GSKit是其中的一个一套IBM产品的安全管理工具。
IBM DB2中的GSKit存在安全漏洞,该漏洞源于程序使用了较弱的加密算法。攻击者可利用该漏洞解密敏感信息。基于Linux、UNIX和Windows平台的以下版本受到影响:IBM DB2 9.7版本,10.1版本,10.5版本,11.1版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg22013756
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201803-820
【漏洞名称】AMD Ryzen和Ryzen Pro Promontory chipset 安全漏洞
【漏洞编号】CNNVD-201803-797(CVE-2018-8935)
【漏洞详情】AMD Ryzen和Ryzen Pro都是美国AMD公司的中央处理器(CPU)产品。Promontory chipset是其中的一个芯片组。
AMD Ryzen和Ryzen Pro中使用的Promontory chipset存在安全漏洞,该漏洞源于ASIC中存在后门。攻击者可利用该漏洞执行代码。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://www.amd.com
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201803-797
【漏洞名称】多款F5产品安全漏洞
【漏洞编号】CNNVD-201803-788(CVE-2018-5509)
【漏洞详情】F5 BIG-IP LTM等都是美国F5公司的产品。F5 BIG-IP LTM是一款本地流量管理器;BIG-IP AAM是一款应用程序加速管理器。
多款F5产品中存在安全漏洞。攻击者可利用该漏洞造成TMM崩溃并使其进行故障切换,导致拒绝服务。以下产品和版本受到影响:F5 BIG-IP LTM 13.0.0版本和12.1.0版本至12.1.3.1版本;BIG-IP AAM 13.0.0版本和12.1.0版本至12.1.3.1版本;BIG-IP AFM 13.0.0版本和12.1.0版本至12.1.3.1版本;BIG-IP APM 13.0.0版本和12.1.0版本至12.1.3.1版本;BIG-IP ASM 13.0.0版本和12.1.0版本至12.1.3.1版本;BIG-IP Link Controller 13.0.0版本和12.1.0版本至12.1.3.1版本;BIG-IP PEM 13.0.0版本和12.1.0版本至12.1.3.1版本;BIG-IP WebSafe 13.0.0版本和12.1.0版本至12.1.3.1版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.f5.com/csp/article/K49440608
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201803-788
【漏洞名称】Ubiquiti Networks EdgeOS 跨站请求伪造漏洞
【漏洞编号】CNNVD-201803-805(CVE-2017-0933)
【漏洞详情】Ubiquiti Networks EdgeOS是美国优比快(Ubiquiti Networks)公司的一套运行在Ubiquiti产品中的操作系统。
Ubiquiti Networks EdgeOS 1.9.1及之前的版本中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞获取管理员权限。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-9-1-1/ba-p/1910524
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201803-805
【漏洞名称】2345 Security Guard 安全漏洞
【漏洞编号】CNNVD-201803-833(CVE-2018-8896)
【漏洞详情】2345 Security Guard是中国2345公司的一套计算机安全防护软件。
2345 Security Guard 3.6版本中的2345DumpBlock.sys驱动程序文件存在安全漏洞,该漏洞源于程序没有校验来自IOCtl 0x00222044的输入值。本地攻击者可利用该漏洞造成拒绝服务。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
http://safe.2345.cc/
【漏洞链接】
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201803-833
国家信息安全漏洞库(CNNVD)将每天发布最新漏洞信息,更多内容请登录官方网站:
http://www.cnnvd.org.cn/web/vulnerability/querylist.tag