当前位置: 安全纵横 > 安全公告

一周业界安全动态(8月31日-9月6日)

来源:安恒信息 日期:2009-09

Adobe RoboHelp Server未明安全漏洞
受影响系统:
Adobe RoboHelp Server 8
描述:
Adobe RoboHelp Server 8是一款为网站及内部网的桌面以及Web应用程序和知识库提供帮助的系统。
Adobe RoboHelp Server存在一个未明预验证错误,远程攻击者可以利用漏洞以应用程序权限执行任意指令。
Intevydis公司发布的商业漏洞利用工具已经提供相关的攻击信息。
厂商补丁:
目前没有解决方案提供:
http://www.adobe.com/products/robohelpserver/

 

Apache mod_proxy_ftp 远程命令注入漏洞
受影响系统:
Apache Software Foundation mod_proxy_ftp
描述:
Apache mod_proxy_ftp是一款用于处理FTP代理请求的Apache模块。
Apache mod_proxy_ftp不正确过滤用户输入数据,远程攻击者可以利用漏洞以应用程序安全上下文执行任意命令。
厂商补丁:
目前没有解决方案提供:
http://httpd.apache.org/docs/2.0/mod/mod_proxy_ftp.html

 

Microsoft Windows嵌入式OpenType字体引擎拒绝服务漏洞
受影响系统:
Microsoft Windows Server 2003 SP2
描述:
Microsoft Windows是微软开发的非常流行的操作系统。
Windows Server 2003 SP2的嵌入式OpenType(EOT)字体引擎所使用的win32k.sys驱动中存在拒绝服务漏洞。如果用户受骗打开的HTML文档中@font-face CSS规则的src描述符引用了特制的.eot文件,就可能导致系统崩溃。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

 

VMware Studio Web界面任意文件上传漏洞
受影响系统:
VMWare Studio 2.0 beta
描述:
VMware Studio是一个集成的部署工具,用于将软件应用打包到虚拟设备和vApps中。
由于没有充分地过滤用户输入,VMware Studio的web界面的支持组件存在目录遍历漏洞。远程攻击者可以利用这个漏洞向VMware Studio虚拟设备中的任意目录上传文件。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.vmware.com/support/developer/studio/

 

SPIP数据库备份请求绕过认证漏
受影响系统:
SPIP SPIP 2.0.x
SPIP SPIP 1.9
描述:
SPIP是基于PHP+MySQL的网络出版发行系统。
SPIP没有正确地限制对ecrire/exec/install.php和ecrire/index.php的访问,远程攻击者可以通过提交恶意的数据库备份请求执行各种非授权操作,如获得管理员的口令哈希。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.spip-contrib.net/SPIP-Security-Alert-new-version

 

Pidgin libpurple库不安全连接漏洞
受影响系统:
Pidgin Pidgin 2.6.0
描述:
Pidgin是支持多种协议的即时通讯客户端。
在连接到不遵循XMPP规范的老式Jabber服务器时Pidgin所使用的libpurple库中的protocols/jabber/auth.c文件没有强制“require TLS/SSL”偏好选项,TLS/SSL连接已经失败但libpurple库仍会未经加密便连接到服务器。远程攻击者可以从不安全的连接中嗅探会话。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://developer.pidgin.im/ticket/8131