High-Tech Bridge Security Research Lab 上海天泰网络技术有限公司 CNCERT 河南分心 8 8 CNCERT 福建分心 6 6 CNCERT 山西分心 2 2 CNCERT 吉林分心 1 1 个人 3 3 报送总计录入总计 4

国家信息安全漏洞共享平台 (CNVD) 信息安全漏洞周报 2014 年 11 月 3 日 -2014 年 11 月 9 日 2014 年第 45 期本周漏洞基本情况本周信息安全漏洞威胁整体评价级别为国家信息安全漏洞共享平台 ( 以下简称 CNVD) 本周共收集整理信息安全漏洞 4 36 个, 其高危漏洞 23 个危漏洞 401 个低危漏洞 12 个上述漏洞, 可利用来实施远程攻击的漏洞有 424 个本周收录的漏洞, 已有 102 个漏洞由厂商提供了修补方案, 建议用户及时下载补丁更新程序, 避免遭受网络攻击本周互联网上出现 Clip Share 'midroll.php' SQL 注入漏洞 Maarch 任意文件上传漏洞等零日攻击代码, 请使用相关产品的用户注意加强防范成员单位报送漏洞统计本周, 共 6 家成员单位合作伙伴及个人报送了本周收录的全部 436 个漏洞报送情况如表 1 所示其, 奇虎 360 安天实验室天融信启明星辰等单位报送数量较多此外,CNCERT 各分心上海天泰网络技术有限公司 High-TechBridge Security Research Lab 及白帽子向 CNVD 提交了 228 个原创漏洞报送单位或个人漏洞报送数量原创漏洞数量奇虎 360 205 205 安天实验室 131 0 天融信 117 0 启明星辰 84 0 绿盟科技 72 0 恒安嘉新 69 0

High-Tech Bridge Security Research Lab 上海天泰网络技术有限公司 2 2 1 1 CNCERT 河南分心 8 8 CNCERT 福建分心 6 6 CNCERT 山西分心 2 2 CNCERT 吉林分心 1 1 个人 3 3 报送总计 701 228 录入总计 436( 去重 ) 228 表 1 成员单位上报漏洞统计表 CNVD 整理和发布的漏洞涉及 IBM WordPress FFmpeg 等多家厂商的产品, 部分漏洞数量按厂商统计如表 2 所示序号厂商 ( 产品 ) 漏洞数量所占比例 1 IBM 10 2% 2 WordPress 10 2% 3 FFmpeg 9 2% 4 SAP 6 1% 5 Cisco 5 1% 6 CA 4 1% 7 Fortinet 3 1% 8 Linux 3 1% 9 FreeBSD 2 1% 10 其他 384 88% 表 2 漏洞产品涉及厂商分布统计表漏洞按影响类型统计本周,CNVD 收录了 436 个漏洞其应用程序漏洞 391 个,WEB 应用漏洞 26 个, 网络设备漏洞 12 个, 操作系统漏洞 7 个

漏洞影响对象类型漏洞数量应用程序漏洞 391 WEB 应用漏洞 26 网络设备漏洞 12 操作系统漏洞 7 表 3 漏洞按影响类型统计表图 1 本周漏洞按影响类型分布本周行业漏洞信息本周,CNVD 收录了 16 个行业漏洞,303 个漏洞,4 个工控行业漏洞 ( 如下图表所示 ) 其, Linksys SMART WiFi (CNVD-2014-07852) 多个 ABB 产品本地代码执行漏洞的综合评级均为高危相关厂商已经发布了上述漏洞的修补程序行业漏洞编号漏洞标题 CNVD-2014-07774 CNVD-2014-07852 CNVD-2014-07853 CNVD-2014-07858 IBM Tivoli Application Dependency Di scovery Manager Linksys SMART WiFi (C NVD-2014-07852) Linksys SMART WiFi (C NVD-2014-07853) IBM Tivoli Application Dependency Di scovery Manager (TADDM) 跨站脚本漏洞危险等级 CNVD-2014-07893 CBN CH6640E 和 CG6640E 无线网关系高高低低是有补丁是是是是

列存在多个漏洞 CNVD-2014-07887 Tenda A32 Router 跨站请求伪造漏洞 CNVD-2014-07903 CNVD-2014-07952 CNVD-2014-07951 CNVD-2014-07950 CNVD-2014-07948 CNVD-2014-07947 CNVD-2014-07938 CNVD-2014-08014 CNVD-2014-08049 CNVD-2014-08110 CNVD-2014-07712 IBM Tivoli Application Dependency Di scovery Manager 目录遍历漏洞 (CNVD -2014-07903) Cisco Unified Communications Manage r 存在多个跨站脚本漏洞 (CNVD-2014-07952) Cisco Unified Communications Manage r Admin Interface 存在多个跨站脚本漏洞 Cisco Unified Communications Manage r 存在多个跨站脚本漏洞 (CNVD-2014-07950) Cisco Unified Communications Manage r SQL 注入漏洞 (CNVD-2014-07948) HP LaserJet Printers 存在未明远程拒绝服务漏洞 (CNVD-2014-07947) Cisco Unified Communications Manage r 跨站脚本漏洞 IBM WebSphere Commerce XML 外部实体拒绝服务漏洞 IBM WebSphere Commerce 部实体 XML 外多个 D-Link 产品 WPS-PIN Alternative Connection for Android CNVD-2014-07711 Cedar Kiosk for Android CNVD-2014-07710 Kiddie Kinderschoenen for Android CNVD-2014-07709 Jobranco for Android CNVD-2014-07708 Facebook Profits on Steroids for Andro id CNVD-2014-07707 Childcare for Android CNVD-2014-07706 CNVD-2014-07728 CNVD-2014-07727 SPIN - Motion Comic for Android EMT-Paramedic Lite for Android Go MSX MLS for Android CNVD-2014-07726 C.R. Group for Android CNVD-2014-07725 Hotel Room for Android 是是是是

CNVD-2014-07724 CNVD-2014-07723 CNVD-2014-07719 CNVD-2014-07720 CNVD-2014-07721 CNVD-2014-07722 CNVD-2014-07718 CNVD-2014-07717 CNVD-2014-07716 CNVD-2014-07715 CNVD-2014-07714 CNVD-2014-07713 CNVD-2014-07731 Fabuestereo 88.1 FM forandroid United Hawk Nation for Android Graffit It application for Android Escucha eldiario.es application for And roid Translation Widget application for Andr oid Sword application for Android Enchanted Fashion Crush for Android Amnesia Groove for Android Sunday Indian Oriya for Android ACC Advocacy Action for Android Aperture Mobile Media for Android Joe's Lawn Service for Android Classic Car Buyer for Android CNVD-2014-07730 SMARTalk for Android CNVD-2014-07729 CNVD-2014-07732 BOOKING DISCOUNT for Android Pegasus Airlines for Android CNVD-2014-07735 Adopt O Pet for Android CNVD-2014-07741 CNVD-2014-07742 CNVD-2014-07743 CNVD-2014-07744 CNVD-2014-07745 A Very Short History of Japan applicat ion for Android Help For Doc application for Android Hector Leal application for Android Realtime Music Rank application for A ndroid AppTalk application for Android CNVD-2014-07733 Space Cinema application for Android

CNVD-2014-07734 Portfolium application for Android CNVD-2014-07740 USF BCM for Android CNVD-2014-07739 CNVD-2014-07738 CNVD-2014-07737 CNVD-2014-07736 CNVD-2014-07766 CNVD-2014-07765 CNVD-2014-07764 www.alaaliwat.com for Android 100 Beauty Tips for Android Russian Federation Traffic Rules for A ndroid Synx addictive puzzle game for Androi d AG Klettern Odenwald for Android HoneyBee Mag for Android Live TV Browser for Android CNVD-2014-07763 PC Advisor for Android CNVD-2014-07762 CNVD-2014-07761 CNVD-2014-07760 CNVD-2014-07759 CNVD-2014-07758 Magic Stamp for Android IM5 Fans Planet for Android Fashion Story: Neon 90's for Android A King Sperm by Dr. Seema Rao for Android Slots Heaven:FREE Slot Machine for Android CNVD-2014-07757 Press-Leader for Android CNVD-2014-07756 CNVD-2014-07755 CNVD-2014-07754 CNVD-2014-07753 CNVD-2014-07752 CNVD-2014-07751 BloomYou Valentine for Android Electronics For You for Android Digit Magazine for Android Zoella Unofficial for Android Detox Juicing Diet Recipes for Androi d Shaklee Product Catalog for Android CNVD-2014-07750 allnurses for Android

CNVD-2014-07749 My NGEMC Account for Android CNVD-2014-07748 PocketKnife Bravo Super for Android CNVD-2014-07775 LogosQuest - Beginnings application fo r Android CNVD-2014-07776 Kontan Kiosk application for Android CNVD-2014-07777 100 Books application for Android CNVD-2014-07778 Secretos de belleza application for And roid CNVD-2014-07779 Short Stories application for Android CNVD-2014-07780 Menaka - Marathi application for Andr oid CNVD-2014-07781 Vineyard All In application for Androi d CNVD-2014-07782 ADT Aesthetic Dentistry Today applicat ion for Android CNVD-2014-07783 Mitsubishi Road Assist application for Android CNVD-2014-07784 Not Lost Just Somewhere Else applicat ion for Android CNVD-2014-07785 Coca-Cola FM Guatemala application f or Android CNVD-2014-07786 Desire2Learn FUSION application for Android CNVD-2014-07788 ETG Hosting application for Android CNVD-2014-07789 nashaplaneta.su application for Android CNVD-2014-07790 Healthy Lunch Diet Recipes application for Android CNVD-2014-07791 Ionic View application for Android CNVD-2014-07792 CSApp - Colegio San Agustin applicati on for Android CNVD-2014-07794 international-arbitration-attorney.com app lication for Android CNVD-2014-07795 I Know Movie application for Android CNVD-2014-07797 Best Beginning application for Android

CNVD-2014-07787 CNVD-2014-07793 CNVD-2014-07799 CNVD-2014-07800 CNVD-2014-07801 CNVD-2014-07802 CNVD-2014-07803 CNVD-2014-07804 CNVD-2014-07805 CNVD-2014-07806 CNVD-2014-07807 CNVD-2014-07808 CNVD-2014-07809 CNVD-2014-07810 CNVD-2014-07811 CNVD-2014-07812 CNVD-2014-07813 CNVD-2014-07814 CNVD-2014-07815 CNVD-2014-07827 DealSide Institutional for Android Dattch - Android Lesbian App for And roid BBC Knowledge Magazine application for Android Real Academia de Bellas Artes applicat ion for Android Craft Stamper Magazine application for Android Asylum! application for Android CLEO Malaysia application for Androi d Rajendra Suriji application for Android Aptallik Testi application for Android Liburan Hemat application for Android Gary Johnson for President application for Android Game Day Tix application for Android Deakin University application for Andr oid Belaire Family Orthodontics application for Android NZHondas.com application for Android SK encar application for Android Suzanne Glathar application for Androi d Dil Bilgisi Kurallari application for An droid Yozgat Gazetesi application for Android Mr Whippet - Yorkshire Ice for Androi d CNVD-2014-07825 FOL for Android CNVD-2014-07824 Demon for Android CNVD-2014-07823 Industrial and Commercial Bank of Chi

CNVD-2014-07833 CNVD-2014-07832 CNVD-2014-07831 CNVD-2014-07830 CNVD-2014-07829 CNVD-2014-07828 CNVD-2014-07826 CNVD-2014-07816 CNVD-2014-07817 na (ICBC) Banking for Android Bieber News Now for Android B&H Photo Video Pro Audio for Andr oid Chien Binh Bakugan 2 LongTieng for Android ebiblio Andalucia for Android droid Survey Offline Forms for Androi d Stoner's Handbook L- Bud Guide for Android Radio Bethlehem RB2000 application f or Android LEGEND OF TRANCE for Android Pakan Ken Tube for Android CNVD-2014-07822 Firenze map for Android CNVD-2014-07821 CNVD-2014-07820 SHIRAKABA for Android Aloha Bail Bonds for Android CNVD-2014-07819 Safe Arrival for Android CNVD-2014-07818 CNVD-2014-07840 CNVD-2014-07841 CNVD-2014-07842 CNVD-2014-07843 CNVD-2014-07844 CNVD-2014-07845 CNVD-2014-07846 Where Atlanta for Android l'informatiu application for Android Zhang Zhijun Taiwan Visit-06-25 applic ation for Android Headlines news India application for A ndroid Service Academy Forums application fo r Android Classic Racer application for Android Funny & Interesting Things application for Android NotreDame Seguradora application for Android CNVD-2014-07847 GES Agri Connect application for And

CNVD-2014-07848 CNVD-2014-07849 CNVD-2014-07850 CNVD-2014-07851 CNVD-2014-07834 CNVD-2014-07835 CNVD-2014-07836 CNVD-2014-07837 CNVD-2014-07838 CNVD-2014-07839 CNVD-2014-07855 CNVD-2014-07873 CNVD-2014-07872 CNVD-2014-07871 CNVD-2014-07870 roid PRIX IMPORT application for Android Bodyguard for Hire application for An droid Horsepower application for Android Savage Nation Mobile Web application for Android Maccabi Pakal application for Android Anderson Musaamil application for An droid Nova application for Android Cycling Manager Game Cff application for Android Bowl Expo application for Android Myanmar Movies HD application for A ndroid A+ application for Android SSL ASimple Car Care Tip and Advice for Android Tactical Force LLC for Android Health Advocate SmartHelp for Androi d Fabasoft Cloud for Android CNVD-2014-07869 InstaTalks for Android CNVD-2014-07868 CNVD-2014-07867 CNVD-2014-07866 CNVD-2014-07865 CNVD-2014-07863 Everest Poker for Android zroadster.com for Android Apparound BLEND for Android Bouqs - Flowers Simplified for Androi d GET NYCE Lightworks for Android CNVD-2014-07864 Zombie Diary for Android 信息泄露漏

CNVD-2014-07862 CNVD-2014-07874 CNVD-2014-07875 CNVD-2014-07859 CNVD-2014-07860 CNVD-2014-07861 CNVD-2014-07886 CNVD-2014-07885 CNVD-2014-07884 CNVD-2014-07883 洞 Noticias Bebes Beybies for Android basketball news & videos application f or Android Texas Poker Unlimited Hold'em applica tion for Android Immunize Canada application for Andr oid Domain Name Search & Web Host ap plication for Android Bed Breakfast application for Android Grey's Anatomy Fan for Android Fire Equipments Screen lock for Andro id Best Greatness Quotes for Android Marcus Butler Unofficial for Android CNVD-2014-07882 imig 2012 for Android CNVD-2014-07881 CNVD-2014-07876 CNVD-2014-07877 CNVD-2014-07878 CNVD-2014-07879 CNVD-2014-07880 CNVD-2014-07892 CNVD-2014-07888 CNVD-2014-07914 CNVD-2014-07913 Stift Neuburg for Android Buddhist Prayer application for Android Blood application for Android Central East LHIN News application fo r Android Bail Bonds application for Android Top Hangover Cures application for An droid Hijab Modern application for Android SSL IBM Tivoli Composite Application Man ager for Android SSL Nigerias Business Directory for Androi d Ben10 Omniverse Walkthrough for And roid CNVD-2014-07911 Bikers Romagna for Android 信息泄露是

漏洞 CNVD-2014-07915 BlackBerry World app 低是 CNVD-2014-07925 CNVD-2014-07926 CNVD-2014-07927 CNVD-2014-07928 CNVD-2014-07929 Car Insurance Quote Comparison applic ation for Android Talk Radio Europe application for And roid Woodcraft Magazine application for An droid Fylet Secure Large File Sender applicat ion for Android Superbike Magazine for Android CNVD-2014-07922 Venezia map for Android CNVD-2014-07921 CNVD-2014-07920 CNVD-2014-07919 CNVD-2014-07918 Autocar India for Android Aventino Brand for Android Neumann Student Activities for Androi d BTD5 Videos for Android CNVD-2014-07916 LegalEra for Android CNVD-2014-07932 CNVD-2014-07931 CNVD-2014-07930 CNVD-2014-07936 CNVD-2014-07953 CNVD-2014-07933 CNVD-2014-07934 CNVD-2014-07935 CNVD-2014-07955 CNVD-2014-07954 HOT CARS application for Android S SL Bespoke application for Android SSL www.sm3ny.com application for Androi d sahab-alkher.com application for Androi d Human Factor application for Android Orakel-Ball application for Android gymnoovp application for Android Oskarshamnsliv application for Android Sanctuary Asia for Android Andrew Magdy Kamal's Network for A ndroid CNVD-2014-07979 Cuanto Conoces A un Amigo for Andr

oid CNVD-2014-07980 faailkhair for Android CNVD-2014-07978 CNVD-2014-07977 CNVD-2014-07976 CNVD-2014-07975 Acorn Estate Agents for Android Taking Your Company Public for Andr oid Liver Health - Hepatitis C for Android Where Dallas for Android CNVD-2014-07974 Aloha Guide for Android CNVD-2014-07973 CNVD-2014-07972 CNVD-2014-07971 CNVD-2014-07970 CNVD-2014-07969 TodaysSeniorsNetwork for Android XtendCU Mobile for Android Motoring Classics for Android brain abundance info for Android Macau Business for Android CNVD-2014-07968 ETA Mobile for Android CNVD-2014-07967 CNVD-2014-07966 Business Intelligence for Android Dignity Dialogue for Android CNVD-2014-07965 Toyota OC for Android CNVD-2014-07964 CNVD-2014-07963 Football Espana magazine for Android Motoring Classics for Android CNVD-2014-07962 IP Alarm for Android CNVD-2014-07961 CNVD-2014-07960 CNVD-2014-07957 CNVD-2014-07958 CNVD-2014-07959 Brevir Harian V2 for Android Excellence application for Android HAPPY application for Android Air War Hero application for Android Yeast Infection application for Android CNVD-2014-07956 Gulf Coast Educators FCU for Android

CNVD-2014-07995 CNVD-2014-07994 CNVD-2014-07993 CNVD-2014-07992 CNVD-2014-07991 CNVD-2014-07990 CNVD-2014-07985 CNVD-2014-07984 ExpeditersOnline.com Forum for Androi d AIndian Management for Android Dresden Transport Museum for Android Magicam Photo Magic Editor for Andr oid JJA- Juvenile Justice Act 1986 for An droid Inspire Weddings for Android DIYChatroom for Android Classic Arms and Militaria for Android CNVD-2014-07983 Echo News for Android CNVD-2014-07982 SAsync for Android CNVD-2014-07981 CNVD-2014-07989 CNVD-2014-07988 CNVD-2014-07987 CNVD-2014-07986 CNVD-2014-08001 CNVD-2014-08000 CNVD-2014-07999 CNVD-2014-07998 CNVD-2014-07997 Old Bike Mart for Android PROF.USMAN ALI AWHEELA for An droid Jambatan PBB Semporna for Android Digital Content NewFronts 2014 for A ndroid Argus Leader Print Edition for Android Diabetic Diet Guide GOLD for Androi d BattleFriends at Sea GOLD for Androi d Joint Radio Blues for Android CPWORLD Close Protection World for Android Conrad Hotel for Android CNVD-2014-07996 Atme for Android CNVD-2014-08002 Paramore for Android CNVD-2014-08003 Quotes of Travis Barker for Android

CNVD-2014-08007 CNVD-2014-08006 Blocked in Free for Android Biplane Forum for Android CNVD-2014-08005 ACN2GO for Android CNVD-2014-08004 CNVD-2014-08008 CNVD-2014-08016 Water Lateral Sizer for Android ThailInvestor News for Android Bilingual Magic Ball for Android CNVD-2014-08018 Student ID for Android CNVD-2014-08017 CNVD-2014-08019 CNVD-2014-08020 CalculatorApp for Android Hunting Trophy Whitetails application f or Android Doodle Devil Free application for Andr oid CNVD-2014-08009 HEA Mobile for Android CNVD-2014-08013 CNVD-2014-08012 CNVD-2014-08011 CNVD-2014-08010 CNVD-2014-08029 CNVD-2014-08028 CNVD-2014-08027 CNVD-2014-08034 CNVD-2014-08033 CNVD-2014-08030 CNVD-2014-08026 Intelligent SME for Android Where2Stop-Cardlocks-Free for Android ForoSocuellamos for Android Ayuntamiento de Coana for Android Mills-Hazel Property Mgmt for Android Ultimate Christian Radios for Android GIGA HOBBY for Android Baidu Navigation for Android Face Fun Photo Collage Maker 2 for Android bene+ odmeny a slevy for Android Love Horoscope Guide for Android CNVD-2014-08025 SOS recette for Android CNVD-2014-08024 AJD Bail Bonds for Android 信息泄露

漏洞 CNVD-2014-08023 RTSinfo for Android CNVD-2014-08035 Breeze Jersey for Android CNVD-2014-08036 Flood-It for Android CNVD-2014-08037 CNVD-2014-08022 CNVD-2014-08021 CNVD-2014-08032 7725.com Three Kingdoms for Android Quran Abu Bakr AshShatiri Free applic ation for Android Youth Incorporated application for Andr oid One You Fitness for Android CNVD-2014-08031 Ali Visual for Android CNVD-2014-08060 CNVD-2014-08059 Kakao Bingo Garden for Android Bond Trading for Android CNVD-2014-08058 migme for Android CNVD-2014-08057 Indian Cement Review for Android CNVD-2014-08056 Harivijay for Android CNVD-2014-08052 CNVD-2014-08053 CNVD-2014-08054 Touriosity Travelmag for Android Parque Imperial for Android Herpin Time Radio for Android CNVD-2014-08055 MyMetro for Android CNVD-2014-08050 CNVD-2014-08069 CNVD-2014-08068 IBM Notes Traveler For Android 间人 news revolution - bahrain for Android Villa Antonia for Android CNVD-2014-08067 Fling Gold for Android CNVD-2014-08066 CNVD-2014-08065 CNVD-2014-08062 Yulman Stadium for Android Acorn Comms for Android Brisbane and Queensland Alert for And roid CNVD-2014-08063 Clean Internet Browser for Android 信是

CNVD-2014-08064 CNVD-2014-08061 息泄露漏洞 Crossmo Calendar for Android ucontrol Smart Home Automation for Android CNVD-2014-08076 CT ihub for Android CNVD-2014-08070 Nano Digest for Android CNVD-2014-08080 Actors Key for Android CNVD-2014-08079 CNVD-2014-08072 CNVD-2014-08071 CNVD-2014-08075 Easy Tips For Glowing Skin for Andro id Revel in Android Rideau Lakes for An droid Just Bureaucracy for Android PokeCreator Lite application CNVD-2014-08087 EIN Lookup for Android CNVD-2014-08086 Lost Temple for Android CNVD-2014-08085 Kadinlar Kulubu KKMobileApp for An droid CNVD-2014-08084 istunt 2 for Android CNVD-2014-08083 Carrier Enterprise HVAC Assist for An droid CNVD-2014-08082 Swamiji.tv for Android CNVD-2014-08081 Concursive for Android 工控系统工控系统工控系统 CNVD-2014-08097 CNVD-2014-08123 CNVD-2014-08122 Nordex NC2 'username' 参数跨站脚本漏洞 Softing FG-100 PB PROFIBUS 'DEVI CE_NAME' 参数 HTML 注入漏洞 softing FG-100 PB PROFIBUS 未授权访问漏洞工控系统 CNVD-2014-08129 多个 ABB 产品本地代码执行漏洞高是图 1 行业漏洞统计

图 2 行业漏洞统计图 3 工控系统行业漏洞统计本周重要漏洞信息本周,CNVD 整理和发布以下重要安全漏洞信息 1 NetBSD 产品安全漏洞 NetBSD tnftp 是一个 unix 操作系统上的 ftp 客户端本周, 上述产品被披露存在任意命令执行漏洞, 攻击者可利用漏洞执行任意命令 CNVD 收录的相关漏洞包括 :tnftp 任意命令执行漏洞上述漏洞的综合评级为高危目前, 厂商已经发布了上述漏洞的修补程序 CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2014-07910 2 IBM 产品安全漏洞 IBM WebSphere Commerce 是一款商务应用开发软件 IBM Lotus Notes Traveler 是为使用受支持移动设备的 Lotus Notes 用户提供的访问电子邮件和 PIM 应用程序的产品 IBM Cognos 是一款商业智能和绩效管理软件 IBM Business Process Manager 是一种功能齐全易于使用的业务流程管理 (BPM) 平台 IBM Tivoli Application Depen

dency Discovery Manager(TADDM) 是美国 IBM 公司的一套 IT 服务管理解决方案的产品, 它提供了健全的自动化应用程序映射和发现, 帮助管理员了解业务应用程序的结构状态配置和变更历史记录本周, 上述产品被披露存在多个安全漏洞, 攻击者可利用漏洞获取敏感信息发起拒绝服务或进行跨站脚本攻击 CNVD 收录的相关漏洞包括 :IBM WebSphere Commerce XML 外部实体 IBM Notes Traveler For Android 间人 IBM WebSphere Comm erce XML 外部实体拒绝服务漏洞 IBM Cognos Mobile server 会话劫持漏洞 IBM B usiness Process Manager 跨站脚本漏洞 (CNVD-2014-07747) IBM Tivoli Application Dependency Discovery Manager IBM Tivoli Composite Application Ma nager for Android SSL IBM Tivoli Application Dependency Discovery Manager 目录遍历漏洞 (CNVD-2014-07903) 目前, 厂商已经发布了上述漏洞的修补程序 CNVD 提醒用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2014-08049 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08050 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08014 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07946 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07747 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07774 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07888 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07903 3 FFmpeg and Libav 产品安全漏洞 FFmpeg 是一款用于录制转换和流化音频和视频的完整解决方案 Libav 的前身是 ffmpeg, 是一个完整的跨平台的, 用于音频和视频录制转换的解决方案本周, 上述产品被披露存在拒绝服务漏洞, 攻击者可利用漏洞发起拒绝服务攻击 CNVD 收录的相关漏洞包括 :FFmpeg and Libav 越界拒绝服务漏洞 (CNVD-2014-08044 CNVD-2014-08045 CNVD-2014-08046 CNVD-2014-08047) FFmpeg and Li bav 'libavcodec/on2avc.c' 拒绝服务漏洞 FFmpeg and Libav 'libavcodec/gifdec.c' 拒绝服务漏洞 FFmpeg and Libav 'libavcodec/cinepak.c' 拒绝服务漏洞 FFmpeg and Libav 'li bavcodec/tiff.c' 拒绝服务漏洞目前, 厂商已经发布了上述漏洞的修补程序 CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2014-08044 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08045 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08046 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08047 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08039

http://www.cnvd.org.cn/flaw/show/cnvd-2014-08040 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08042 http://www.cnvd.org.cn/flaw/show/cnvd-2014-08043 4 Cisco 产品安全漏洞 Cisco Unified Communications Manager(CUCM,Unified CM) 是美国思科 (Cis co) 公司的一款统一通信系统的呼叫处理组件该组件提供了一种可扩展可分布和高可用的企业 IP 电话呼叫处理解决方案本周, 上述产品被披露存在跨站脚本和 SQL 注入漏洞, 攻击者可利用漏洞获取敏感信息或发起跨站脚本攻击 CNVD 收录的相关漏洞包括 :Cisco Unified Communications Manager 跨站脚本漏洞 Cisco Unified Communications Manager SQL 注入漏洞 (CNVD-2014-07948) Cis co Unified Communications Manager 存在多个跨站脚本漏洞 (CNVD-2014-07950 CN VD-2014-07952) Cisco Unified Communications Manager Admin Interface 存在多个跨站脚本漏洞目前, 厂商尚未发布该漏洞的修补程序 CNVD 提醒广大用户随时关注厂商主页, 以获取最新版本参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2014-07938 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07948 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07950 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07952 http://www.cnvd.org.cn/flaw/show/cnvd-2014-07951 5 BSS Continuity CMS SQL 注入漏洞 BSS Continuity CMS 是英国 BSS 公司的一套内容管理系统 (CMS) 本周,BSS Continuity CMS 被披露存在综合评级为高危的 SQL 注入漏洞攻击者可利用漏洞执行任意 SQL 命令目前, 厂商尚未发布该漏洞的修补程序 CNVD 提醒广大用户随时关注厂商主页, 以获取最新版本参考链接 :http://www.cnvd.org.cn/flaw/show/cnvd-2014-07796 更多高危漏洞如表 3 所示, 详细信息可根据 CNVD 编号, 在 CNVD 官网进行查询参考链接 :http://www.cnvd.org.cn/flaw/list.htm CNVD 编号 CNVD-201 4-07852 CNVD-201 4-07893 漏洞名称 Linksys SMART WiFi (CNVD-2014-07852) CBN CH6640E 和 CG6640E 无线网关系列存在多个漏洞综合评级高高修复方式目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : http://www.kb.cert.org/vuls/id/44751 6 暂无

CNVD-201 4-07897 Vizensoft Admin Panel 存在多个漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞 : http://www.vizensoft.com/portfolio/i ndex.jsp CNVD-201 4-07939 BitTorrent Bootstrap 'lazy_bdecod e.cpp' 远程代码执行漏洞高目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : https://github.com/bittorrent/bootstra p-dht/commit/bbc0b7191e3f48461ca 6e5b1b34bdf4b3f1e79a9 CNVD-201 4-08101 CA Cloud Service Management (CSM) XML 外部实体注入漏洞高目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : https://support.ca.com/ CNVD-201 4-08104 SAP HANA SQL 注入漏洞高目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : http://erpscan.com/advisories/erpscan -14-013-sap-hana-metadata-xsjs-sql-i njection/ CNVD-201 4-08109 PolarSSL 存在未明内存破坏漏洞高目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : https://polarssl.org/ CNVD-201 4-08140 HelpDEZk 任意文件上传漏洞高用户可联系供应商获得补丁信息 : http://helpdezk.org/ CNVD-201 4-08119 CNVD-201 4-08125 多个 DNSresolvers 存在设计漏洞 PHP 'date_from_iso8601()' 函数缓冲区溢出漏洞高高表 3 部分高危漏洞列表目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : http://dnsresolvers.com/ 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : http://php.net/ 小结 : 本周, 行业漏洞数相对较多, 主要原因是收录了多个 Android 应用程序存在的, 攻击者可利用漏洞获取敏感信息, 请各应用软件方注意防范 Android SSL 证书验证漏洞此外,NetBSD 及 IBM FFmpeg and Libav Cisco 多款产品被批露存在多个安全漏洞, 允许攻击者利用漏洞执行任意命令获取敏感信息发起拒绝服务攻击或跨站脚本攻击另外,BSS Continuity CMS 被披露存在一个高危零日漏洞攻击者可利用漏洞执行任意 SQL 命令建议相关用户应随时关注上述厂商主页, 及时获取修复补丁或解决方案

本周重要漏洞修补信息 CNVD 整理和发布以下重要安全修补信息 1 Linux 修补 Kernel 产品漏洞 Linux Kernel 是一款开源的操作系统本周,Linux 修补了上述产品存在的拒绝服务漏洞, 避免攻击者利用漏洞发起拒绝服务攻击 CNVD 已收录相关补丁, 请广大用户及时下载更新, 避免引发漏洞相关的网络安全事件补丁下载链接 :http://www.cnvd.org.cn/patchinfo/show/51568 http://www.cnvd.org.cn/patchinfo/show/51560 本周要闻速递 1. APP TextSecure 存在未知密钥共享攻击漏洞 TextSecure 是 Android 平台下的一款加密聊天 APP, 这款免费 APP 设计目的是为了保证通信隐私这款 APP 由 Open WhisperSystems 开发, 代码完全开源, 支持端到端短信加密最近, 来自德国鲁尔大学的安全研究员却发现 TextSecure 存在未知密钥共享攻击漏洞研究人员已经提供了一个临时的解决方案, 目前 TextSecure 开发者已经知晓了此方法, 并通过它防止 UKS 攻击参考链接 :http://www.freebuf.com/news/49894.html 2. VISA 存在无线支付漏洞最近, 英国 Newcastle 大学的安全研究员在 VISA 的非接触式付款卡发现了一个安全漏洞, 利用该漏洞, 攻击者只需使用手机就可以从别人的钱包里偷取大量现金非接触式支付卡使用的是加密芯片 (cryptoprocessor) 和 RFID 技术来进行无线支付, 而不需要向传统的付款方式那样要把银行卡插进读卡器才能完成付款一部具有 NFC 功能的手机就可以实现非接触支付在英国, 这种非接触卡有 20 英镑的购买额度限制在购物时, 用户无须输入 PIN 密码而直接刷过即可付款但是该非接触式银行卡存在一个漏洞不能识别外币交易, 因此网络犯罪者可能会利用这一漏洞进行非法转账, 并且非法转账的金额最高可达到 999,999.99 美元参考链接 :http://www.freebuf.com/news/50226.html 关于 CNVD 国家信息安全漏洞共享平台 (China National Vulnerability Database, 简称 CNVD) 是 CNCERT 联合国内重要信息系统单位基础运营商网络安全厂商软件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 致力于建立国家统一的信息安全漏

洞收集发布验证分析等应急处理体系关于 CNCERT 国家计算机网络应急技术处理协调心 ( 简称国家互联网应急心, 英文简称是 CNCERT 或 CNCERT/CC), 成立于 2002 年 9 月, 为非政府非盈利的网络安全技术心, 是我国网络安全应急体系的核心协调机构作为国家级应急心,CNCERT 的主要职责是 : 按照积极预防及时发现快速响应力保恢复的方针, 开展互联网网络安全事件的预防发现预警和协调处置等工作, 维护国家公共互联网安全, 保障基础信息网络和重要信息系统的安全运行网址 :www.cert.org.cn 邮箱 :vreport@cert.org.cn 电话 :010-82990999

High-Tech Bridge Security Research Lab 上海天泰网络技术有限公司 CNCERT 河南分心 8 8 CNCERT 福建分心 6 6 CNCERT 山西分心 2 2 CNCERT 吉林分心 1 1 个人 3 3 报送总计 录入总计 4

High-Tech Bridge Security Research Lab 上海天泰网络技术有限公司 CNCERT 河南分心 8 8 CNCERT 福建分心 6 6 CNCERT 山西分心 2 2 CNCERT 吉林分心 1 1 个人 3 3 报送总计录入总计 4