QEMU 'hw/9pfs/9p.c'拒绝服务漏洞(CNVD-2016-10619)

报送者:蓝盾信息安全技术股份有限公司
CNVD-ID CNVD-2016-10619
发布时间 2016-11-04
危害级别 中 (AV:N/AC:L/Au:N/C:N/I:N/A:P)
影响产品 QEMU QEMU 0
BUGTRAQ ID 93962
漏洞描述 QEMU(又名Quick Emulator)是法国程序员法布里斯-贝拉(Fabrice Bellard)所研发的一套模拟处理器软件。该软件具有速度快、跨平台等特点。

'hw/9pfs/9p.c'存在拒绝服务漏洞,攻击者可以利用该漏洞发起拒绝服务攻击。

参考链接 http://www.securityfocus.com/bid/93962
漏洞解决方案 目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://wiki.qemu.org/Index.html
漏洞发现者 Li Qiang of 360.cn Inc.
厂商补丁 QEMU 'hw/9pfs/9p.c'拒绝服务漏洞(CNVD-2016-10619)的补丁
验证信息 (暂无验证信息)
报送时间 2016-11-04
收录时间 2016-11-04
更新时间 2016-11-04
漏洞附件 (无附件)
  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

0day

优道文挡阅读器处理DRM格式存在内存破坏漏洞

报送者:光刃[天融信]
CNVD-ID CNVD-2016-10177
发布时间 2016-10-22
危害级别 中 (AV:L/AC:L/Au:N/C:N/I:N/A:C)
影响产品 珠海市优道信息科技有限公司 优道文档阅读器 2.5.1
漏洞描述 优道文档阅读器是一款具备防截图功能的信息安全阅读器产品,用来查看被优道文档保护器加密的文本、图片、PDF、XPS、金山WPS、Office文档等,加密后的文件扩展名为.drm。

优道文档阅读器在处理自定义的DRM格式文件存在内存破坏漏洞,允许攻击者利用该漏洞构造畸形的文件可导致程序崩溃。如若成功利用可导致任意代码执行。

参考链接
漏洞解决方案 厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:
http://www.uudoc.com/
漏洞发现者 陈思远
厂商补丁 (无补丁信息)
验证信息 (暂无验证信息)
报送时间 2016-09-07
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 附件暂不公开

0day

TRS Portal个性化门户存在多个漏洞

报送者:miss
CNVD-ID CNVD-2016-10176
发布时间 2016-10-24
危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N)
影响产品 TRS TRS Portal个性化门户
漏洞描述 TRS Portal为拓尔思公司开发的一套完全基于J2EE和浏览器技术的个性化门户通用型软件。

TRS Portal个性化门户AppletHttpUploadServlet Servlet无需登录即可访问,允许攻击者可以利用漏洞遍历所有目录文件、删除任意目录文件。

参考链接
漏洞解决方案 该漏洞仅影响2012-3-19之前的版本,厂商已提供解决方案如下:

基于此款产品的研发现状,经内部商议,建议做提示性整改,不增发相应的补丁程序,整改说明:直接针对 web.xml文件中相关servlet描述进行注释。
<!--servlet>
<servlet-name>AppletHttpUploadServlet</servlet-name>
<servlet-class>com.trs.km.file.server.servlets.AppletHttpUploadServlet</servlet-class>
</servlet-->
<!--servlet-mapping>
<servlet-name>AppletHttpUploadServlet</servlet-name>
<url-pattern>/AppletHttpUploadServlet.appletdo</url-pattern>
</servlet-mapping-->

漏洞发现者 miss
厂商补丁 TRS Portal个性化门户存在任意目录文件遍历、读取、删除漏洞
验证信息 (暂无验证信息)
报送时间 2016-09-07
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 附件暂不公开

0day

Oracle Fusion Middleware NetBeans组件存在未明漏洞

报送者:恒安嘉新
CNVD-ID CNVD-2016-10174
发布时间 2016-10-27
危害级别 中 (AV:L/AC:L/Au:N/C:P/I:P/A:P)
影响产品 Oracle Fusion Middleware 8.1
CVE ID CVE-2016-5537
漏洞描述 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台,该平台提供了中间件、软件集合等功能。NetBeans是其中的一个包括开源的开发环境和应用平台的组件。

Oracle Fusion Middleware 8.1版本的NetBeans组件中的Project Import子组件中存在本地安全漏洞。攻击者可利用该漏洞读取、更新、插入或删除数据,也可能造成拒绝服务,影响数据的保密性,完整性及可用性。

参考链接 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞发现者 Oracle
厂商补丁 Oracle Fusion Middleware NetBeans组件存在未明漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2016-10-20
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 (无附件)

0day

Oracle Fusion Middleware Oracle Data Integrator组件存在未明漏洞

报送者:恒安嘉新
CNVD-ID CNVD-2016-10173
发布时间 2016-10-27
危害级别 中 (AV:L/AC:L/Au:N/C:C/I:N/A:N)
影响产品 Oracle Fusion Middleware 11.1.1.7.0
Oracle Fusion Middleware 12.1.3.0.0
Oracle Fusion Middleware 11.1.1.9.0
Oracle Fusion Middleware 12.2.1.0.0
Oracle Fusion Middleware 12.2.1.1.0
CVE ID CVE-2016-5602
漏洞描述 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle Data Integrator是其中的一个综合的数据集成平台组件。

Oracle Fusion Middleware的Oracle Data Integrator组件中的Code Generation Engine子组件中存在远程安全漏洞。攻击者可利用该漏洞未授权访问数据,影响数据的保密性。

参考链接 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞发现者 Oracle
厂商补丁 Oracle Fusion Middleware Oracle Data Integrator组件存在未明漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2016-10-20
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 (无附件)

0day

Oracle Fusion Middleware Oracle WebLogic Server组件存在未明漏洞(CNVD-2016-10172)

报送者:恒安嘉新
CNVD-ID CNVD-2016-10172
发布时间 2016-10-27
危害级别 中 (AV:N/AC:L/Au:N/C:N/I:N/A:P)
影响产品 Oracle Fusion Middleware 10.3.6.0
Oracle Fusion Middleware 12.1.3.0
CVE ID CVE-2016-5488
漏洞描述 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

Oracle Fusion Middleware 10.3.6.0版本和12.1.3.0版本的Oracle WebLogic Server组件中的Web Container子组件中存在远程安全漏洞。攻击者可利用该漏洞造成拒绝服务,影响数据的可用性。

参考链接 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞发现者 Oracle
厂商补丁 Oracle Fusion Middleware Oracle WebLogic Server组件存在未明漏洞(CNVD-2016-10172)的补丁
验证信息 (暂无验证信息)
报送时间 2016-10-20
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 (无附件)

0day

Oracle Fusion Middleware Oracle WebCenter Sites组件存在未明漏洞(CNVD-2016-10171)

报送者:恒安嘉新
CNVD-ID CNVD-2016-10171
发布时间 2016-10-27
危害级别 中 (AV:N/AC:L/Au:N/C:N/I:P/A:N)
影响产品 Oracle Fusion Middleware 12.2.1.0.0
Oracle Fusion Middleware 12.2.1.1.0
Oracle Fusion Middleware 12.2.1.2.0
CVE ID CVE-2016-5511
漏洞描述 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。Oracle WebCenter Sites是其中的一个Web体验管理组件,它可让营销人员和业务用户在全球范围内跨多个渠道创建和管理互动式社交在线体验,以提升销量和客户忠诚度。

Oracle Fusion Middleware的Oracle WebCenter Sites组件中的Security子组件中存在远程安全漏洞。攻击者可利用该漏洞更新、插入或删除数据,影响数据的完整性。

参考链接 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞发现者 Oracle
厂商补丁 Oracle Fusion Middleware Oracle WebCenter Sites组件存在未明漏洞(CNVD-2016-10171)的补丁
验证信息 (暂无验证信息)
报送时间 2016-10-20
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 (无附件)

0day

Oracle Fusion Middleware Oracle Data Integrator组件存在未明漏洞(CNVD-2016-10170)

报送者:恒安嘉新
CNVD-ID CNVD-2016-10170
发布时间 2016-10-27
危害级别 低 (AV:N/AC:H/Au:N/C:P/I:N/A:N)
影响产品 Oracle Fusion Middleware 11.1.1.7.0
Oracle Fusion Middleware 12.1.2.0.0
Oracle Fusion Middleware 12.1.3.0.0
Oracle Fusion Middleware 11.1.1.9.0
Oracle Fusion Middleware 12.2.1.0.0
Oracle Fusion Middleware 12.2.1.1.0
CVE ID CVE-2016-5618
漏洞描述 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle Data Integrator是其中的一个综合的数据集成平台组件。

Oracle Fusion Middleware的Oracle Data Integrator组件中的Code Generation Engine子组件中存在远程安全漏洞。攻击者可利用该漏洞读取数据,影响数据的保密性。

参考链接 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞发现者 Oracle
厂商补丁 Oracle Fusion Middleware Oracle Data Integrator组件存在未明漏洞(CNVD-2016-10170)的补丁
验证信息 (暂无验证信息)

0day

Oracle Fusion Middleware Oracle Identity Manager组件存在未明漏洞

报送者:恒安嘉新
CNVD-ID CNVD-2016-10169
发布时间 2016-10-27
危害级别 低 (AV:L/AC:L/Au:N/C:P/I:P/A:N)
影响产品 Oracle Fusion Middleware
CVE ID CVE-2016-5506
漏洞描述 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle Identity Manager是其中的一个企业身份管理系统组件。

Oracle Fusion Middleware的Oracle Identity Manager组件中的App Server子组件中存在本地安全漏洞。攻击者可利用该漏洞读取、更新、插入或删除数据,影响数据的保密性和完整性。

参考链接 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞发现者 Oracle
厂商补丁 Oracle Fusion Middleware Oracle Identity Manager组件存在未明漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2016-10-20
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 (无附件)

0day

Oracle Enterprise Manager Grid Control Oracle Enterprise Manager Base Platform组件存在未明漏洞

报送者:恒安嘉新
CNVD-ID CNVD-2016-10168
发布时间 2016-10-27
危害级别 中 (AV:L/AC:L/Au:N/C:P/I:C/A:N)
影响产品 Oracle Enterprise Manager Grid Control 12.1.0.5
CVE ID CVE-2016-5604
漏洞描述 Oracle Enterprise Manager Grid Control是美国甲骨文(Oracle)公司的一套系统管理软件。该软件为Oracle IT架构提供中心化监视、生命周期管理等功能。Oracle Enterprise Manager Base Platform是其中的一个系统管理平台组件。

Oracle Enterprise Manager Grid Control 12.1.0.5版本的Oracle Enterprise Manager Base Platform组件中的Security Framework子组件存在本地安全漏洞。攻击者可利用该漏洞未授权读取、创建、删除或修改数据,影响数据的保密性和完整性。

参考链接 http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞解决方案 用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
漏洞发现者 Oracle
厂商补丁 Oracle Enterprise Manager Grid Control Oracle Enterprise Manager Base Platform组件存在未明漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2016-10-20
收录时间 2016-10-27
更新时间 2016-10-27
漏洞附件 (无附件)

0day