启明星辰安全漏洞周安全评点(2017/12/08)
发布时间:2017-12-11   录入:启明星辰

本周安全漏洞威胁为中,需要重点关注的是Google Android Qualcomm组件实现存在多个安全漏洞;
Linux Kernel net/dccp/proto.c/dccp_disconnect函数本地权限提升漏洞;Apache Struts CVE-2017-15707拒绝服务漏洞;Cisco WebEx Recording Players 多个远程代码执行安全漏洞;Synology Photo Station任意文件读取漏洞。

具体相关漏洞细节如下:

一,Google Android Qualcomm组件实现存在多个安全漏洞,允许远程攻击者可以利用漏洞提交特殊的APP,诱使用户解析,提升权限。

相关链接:
https://source.android.com/security/bulletin/2017-12-01

二,Linux Kernel net/dccp/proto.c/dccp_disconnect函数存在安全漏洞,允许本地攻击者可以利用漏洞提交特殊的请求,提升权限。

相关链接:
https://bugzilla.redhat.com/show_bug.cgi?id=1519591
 
三,Apache Struts2 REST插件使用了过期的JSON-lib库,允许远程攻击者利用漏洞提交特殊的请求,进行拒绝服务攻击。

相关链接:
https://cwiki.apache.org/confluence/display/WW/S2-054
 
四,Cisco WebEx Recording Players处理特殊的ARF和WAR文件存在安全漏洞,允许远程攻击者利用漏洞提交特殊的邮件和URL请求,执行任意代码。

相关链接:
https://security.FreeBSD.org/advisories/FreeBSD-SA-17:11.openssl.asc

五,Synology Photo Station picasa.php没有正确处理prog_id字段,允许远程攻击者利用漏洞提交特殊的请求,读取任意文件。

相关链接:
https://www.synology.com/en-global/support/security/Synology_SA_17_63_Photo_Station

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备11010802024551号