当前位置: 安全纵横 > 安全公告

一周安全动态(11月8日-11月14日)

作者:安恒信息 日期:2010-11

Linux Kernel net/子系统多个本地信息泄露漏洞

受影响系统:
Linux kernel 2.6.x

描述:
________________________________________
BUGTRAQ ID: 44630

Linux Kernel是开放源码操作系统Linux所使用的内核。

在Linux Kernel的net/子系统中net/ax25/af_ax25.c文件下的ax25_getname()函数和net/packet /af_packet.c文件下的packet_getname_spkt()、packet_getname()函数没有正确地初始化某些结构成员便将其拷贝到了用户空间,这可能导致泄漏内核栈内存。

建议:
________________________________________
厂商补丁:

Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://permalink.gmane.org/gmane.linux.network/176803

http://permalink.gmane.org/gmane.linux.network/176804

Apache Shiro URL路径目录遍历漏洞

受影响系统:
Apache Group Shiro 1.0.0-incubating

不受影响系统:
Apache Group Shiro 1.1.0

漏洞描述:
BUGTRAQ ID: 44616
CVE ID: CVE-2010-3863

Apache Shiro是用于执行认证、授权、加密和会话管理的Java安全框架。

Shiro的基于路径的过滤器链机制没有正常地规范化请求路径便执行了路径匹配逻辑,攻击者可以通过目录遍历攻击绕过过滤器,执行各种非授权操作。

安全建议:
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://shiro.apache.org/index.html

ISC DHCP服务器Relay-Forward消息拒绝服务漏洞

受影响系统:
ISC DHCP 4.0 - 4.2

不受影响系统:
ISC DHCP 4.2.0-P1
ISC DHCP 4.1.2
ISC DHCP 4.0.2

描述:
________________________________________
BUGTRAQ ID: 44615
CVE ID: CVE-2010-3611

动态主机配置协议(DHCP)允许IP网络上的各个设备获得各自的网络配置信息,包括IP地址、子网掩码和广播地址。

如果服务器所接收到的DHCPv6报文中包含有一个或多个Relay-Forward消息,且没有任何一个消息能够在link-address字段中提供地址,则服务器在处理这种报文时就会崩溃。

建议:
________________________________________
厂商补丁:

ISC
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.isc.org/software/dhcp