forked from we1h0/SecurityManageFramwork
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy path2016-02-29_2016-03-06.xml
534 lines (534 loc) · 157 KB
/
2016-02-29_2016-03-06.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
<?xml version="1.0" encoding="UTF-8"?>
<vulnerabilitys><vulnerability><number>CNVD-2016-01430</number><title>Rockwell Automation MicroLogix 1200 EtherNetIP协议栈拒绝服务漏洞</title><serverity>中</serverity><products><product>Rockwell Automation PLC Micrologix 1200 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-01-12</submitTime><openTime>2016-02-29</openTime><discovererName>王进</discovererName><formalWay>关机重启恢复EtherNetIP服务</formalWay><description>Rockwell Automation PLC Micro Logix 1200是处理器、电源、嵌入式输入输出点的集成的控制器。

Rockwell Automation PLC Micrologix 1200采用EthernetIP协议进行工业控制通讯。将与Micrologix 1200通讯的EthernetIP协议"NOP"报文的长度字段值置为0x00945时,并与其反复建立连接,即可触发Ethernet协议栈崩溃,但ping仍可达。需要关机重启才能恢复EtherNetIP服务。允许攻击者利用该漏洞发起拒绝服务攻击。</description></vulnerability><vulnerability><number>CNVD-2016-00932</number><title>SmoothDraw处理多种格式图片存在多个内存破坏漏洞</title><serverity>中</serverity><products><product>SmoothDraw SmoothDraw 4.0.5</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-01-13</submitTime><openTime>2016-02-29</openTime><discovererName>陈思远</discovererName><formalWay>如使用其他不含有漏洞的组件。</formalWay><description>SmoothDraw一款具有和Painter类似绘画质量的自然绘画软件。

该软件在使用FessImage.dll组件处理多种图片格式时存在安全漏洞。允许攻击者利用此漏洞构造畸形的文件,导致程序崩溃。
</description></vulnerability><vulnerability><number>CNVD-2016-04022</number><title>Freevimager内存破坏漏洞</title><serverity>中</serverity><products><product>FreeVimager FreeVimager 5.0.3</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-01-13</submitTime><openTime>2016-03-01</openTime><discovererName>欧阳永基、周春城、徐晓伟、杨恺</discovererName><formalWay>对LZW最小代码长度进行验证,防止越位</formalWay><description>FreeVimager是一款免费图像浏览器和编辑器,它可以转换视频文件和一些类型的avi的音频文件。

Freevimager存在内存破坏漏洞,允许攻击者通过对gif文件的LZW最小代码长度进行精心设计可以使得程序拒绝服务或改变程序流程,达到执行任意代码的目的。</description></vulnerability><vulnerability><number>CNVD-2016-12930</number><title>KingTop CMS -- 图派科技后台文件上传漏洞</title><serverity>高</serverity><products><product>深圳市图派科技有限公司 KingTop CMS </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-01-14</submitTime><openTime>2016-03-01</openTime><discovererName>古令司</discovererName><formalWay>厂商尚未提供漏洞修复方案,请关注厂商主页及时更新:
http://www.toprand.com/</formalWay><description>KingTop CMS是一套简单易学,操作简单的开源内容管理系统。

KingTop CMS -- 图派科技后台存在文件上传漏洞,攻击者可以通过该漏洞上传webshell,从而获取敏感信息。</description></vulnerability><vulnerability><number>CNVD-2016-00766</number><title>正方软件股份有限公司协同办公系统存在SQL注入漏洞</title><serverity>高</serverity><products><product>杭州正方软件 正方现代教学管理信息系统 null</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-01-19</submitTime><openTime>2016-03-01</openTime><discovererName>奶嘴</discovererName><formalWay>用户可联系供应商获得补丁信息:
http://www.zfsoft.com/index.html</formalWay><description>正方协同办公系统是正方软件股份有限公司研发一款教学一体化、学生一体化、办公一体化、资源一体化等解决方案。

正方软件股份有限公司协同办公系统存在SQL注入漏洞,允许攻击者利用此漏洞获取敏感信息。</description><patchName>杭州正方软件股份有限公司协同办公系统存在SQL注入漏洞</patchName><patchDescription>已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置同时发上海交大处置。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-00772</number><bids><bid><bidNumber>81292</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-1570</cveNumber></cve></cves><title>Xen 'PV superpage'函数安全绕过漏洞</title><serverity>高</serverity><products><product>Xen Xen 4.1.x-4.6.x</product><product>Xen Xen 3.4.0</product><product>Xen Xen 3.4.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-01-28</submitTime><openTime>2016-03-03</openTime><discovererName>Qinghao Tang of 360 Marvel Team. </discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1570
http://www.securityfocus.com/bid/81292/</referenceLink><formalWay>目前厂商已经发布升级补丁/版本以修复这个安全问题,请用户及时下载更新:
http://xenbits.xen.org/xsa/advisory-167.html</formalWay><description>Xen是英国剑桥大学开发的一款开源的虚拟机监视器产品。该产品能够使不同和不兼容的操作系统运行在同一台计算机上,并支持在运行时进行迁移,保证正常运行并且避免宕机。

Xen的arch/x86/mm.c文件中的'PV superpage'函数存在安全漏洞,该漏洞源于HYPERVISOR_mmuext_op超级调用中的MMUEXT_MARK_SUPER和MMUEXT_UNMARK_SUPER sub-op未能正确验证页面标识符(MFN);程序执行页表更新时未能正确验证输入数据。本地PV虚拟机端攻击者可利用该漏洞获取信息,造成拒绝服务,获取权限。</description><patchName>Xen 'PV superpage'函数安全绕过漏洞的补丁</patchName><patchDescription>Xen是英国剑桥大学开发的一款开源的虚拟机监视器产品。该产品能够使不同和不兼容的操作系统运行在同一台计算机上,并支持在运行时进行迁移,保证正常运行并且避免宕机。

Xen的arch/x86/mm.c文件中的'PV superpage'函数存在安全漏洞,该漏洞源于HYPERVISOR_mmuext_op超级调用中的MMUEXT_MARK_SUPER和MMUEXT_UNMARK_SUPER sub-op未能正确验证页面标识符(MFN);程序执行页表更新时未能正确验证输入数据。本地PV虚拟机端攻击者可利用该漏洞获取信息,造成拒绝服务,获取权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01337</number><cves><cve><cveNumber>CVE-2016-1297</cveNumber></cve></cves><title>Cisco ACE 4710 Application Control Engine命令注入漏洞</title><serverity>中</serverity><products><product>Cisco ACE 4710 Application Control Engine </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-03-01</openTime><discovererName>Cisco</discovererName><referenceLink>https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160224-ace</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160224-ace</formalWay><description>Cisco ACE 4710 Application Control Engine是美国思科(Cisco)公司的一套属于ACE应用交换机系列且用于增加数据中心应用的安全和稳定性的负载均衡和应用交付解决方案。

使用A5(3.0)及之前版本A5软件的Cisco ACE 4710 Application Control Engine中存在命令注入漏洞。远程攻击者可通过发送带有CLI命令的HTTP POST请求利用该漏洞绕过role-based access control(RBAC)限制。</description><patchName>Cisco ACE 4710 Application Control Engine命令注入漏洞的补丁</patchName><patchDescription>Cisco ACE 4710 Application Control Engine是美国思科(Cisco)公司的一套属于ACE应用交换机系列且用于增加数据中心应用的安全和稳定性的负载均衡和应用交付解决方案。

使用A5(3.0)及之前版本A5软件的Cisco ACE 4710 Application Control Engine中存在命令注入漏洞。远程攻击者可通过发送带有CLI命令的HTTP POST请求利用该漏洞绕过role-based access control(RBAC)限制。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01338</number><cves><cve><cveNumber>CVE-2016-1342</cveNumber></cve></cves><title>Cisco FirePOWER Management Center信息泄露漏洞</title><serverity>中</serverity><products><product>Cisco FirePOWER Management Center 5.x</product><product>Cisco FirePOWER Management Center 6.0.0.x</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-03-01</openTime><discovererName>Cisco</discovererName><referenceLink>https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160224-fmc</referenceLink><formalWay>目前没有详细的解决方案提供:
http://www.cisco.com/</formalWay><description>Cisco FirePOWER Management Center是美国思科(Cisco)公司的新一代防火墙管理中心软件。

Cisco FirePOWER Management Center 5.x版本和6.0.0.x版本中存在信息泄露漏洞,该漏洞源于用户在受影响系统中检索HTML文件时会返回详细的输出。远程攻击者可利用该漏洞读取help文件中的敏感信息。</description></vulnerability><vulnerability><number>CNVD-2016-01339</number><bids><bid><bidNumber>83350</bidNumber></bid></bids><title>FerretCMS 'admin.php'跨站脚本漏洞</title><serverity>中</serverity><products><product>FerretCMS FerretCMS 2.0.2-alpha</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-03-01</openTime><discovererName>Sachin Wagh </discovererName><referenceLink>http://www.securityfocus.com/bid/83350</referenceLink><formalWay>目前没有详细的解决方案提供:
https://github.com/JRogaishio/ferretCMS/</formalWay><description>FerretCMS是一套基于PHP和MySQL的内容管理系统(CMS)。该系统提供页面管理、模板管理和用户管理等功能。

FerretCMS中存在跨站脚本漏洞,该漏洞源于程序未能充分过滤用户提交的输入。当用户浏览受影响的网站时,其浏览器将执行攻击者提供的任意脚本代码。</description></vulnerability><vulnerability><number>CNVD-2016-01340</number><bids><bid><bidNumber>83349 </bidNumber></bid></bids><title>ManageEngine Firewall Analyzer 'runQuery.do' SQL注入漏洞</title><serverity>高</serverity><products><product>Zoho ManageEngine Firewall Analyzer 8.5</product><product>Magento Enterprise Edition 1.14.2.3</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>Sachin Wagh </discovererName><referenceLink>http://www.securityfocus.com/bid/83349</referenceLink><formalWay>目前没有详细的解决方案提供:
https://www.manageengine.com/</formalWay><description>ZOHO ManageEngine Firewall Analyzer是美国卓豪(ZOHO)公司的一套基于Web的防火墙日志分析工具,它能收集、关联分析和汇报整个企业范围内的防火墙、proxy伺服器和Radius伺服器上的日志。

ZOHO ManageEngine Firewall Analyzer中存在SQL注入漏洞,该漏洞源于程序在构造SQL查询语句之前未能充分过滤用户提交的输入。攻击者可利用该漏洞控制应用程序,访问或修改数据库数据。</description></vulnerability><vulnerability><number>CNVD-2016-01341</number><bids><bid><bidNumber>83351</bidNumber></bid></bids><title>Fiyo CMS HTML注入漏洞</title><serverity>中</serverity><products><product>Fiyo CMS Fiyo CMS 2.0.2.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>Himanshu Mehta </discovererName><referenceLink>http://www.securityfocus.com/bid/83351</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://www.fiyo.org/</formalWay><description>Fiyo CMS是一套用于制作CMS模板的内容管理系统(CMS)。

Fiyo CMS中存在HTML注入漏洞,该漏洞源于程序未能充分过滤用户提交的输入。当用户浏览受影响的网站时,其浏览器将执行攻击者提供的任意HTML或脚本代码。</description><patchName>Fiyo CMS HTML注入漏洞的补丁</patchName><patchDescription>Fiyo CMS是一套用于制作CMS模板的内容管理系统(CMS)。

Fiyo CMS中存在HTML注入漏洞,该漏洞源于程序未能充分过滤用户提交的输入。当用户浏览受影响的网站时,其浏览器将执行攻击者提供的任意HTML或脚本代码。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01342</number><bids><bid><bidNumber>83354</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-1575</cveNumber></cve></cves><title>Ubuntu Linux本地权限提升漏洞(CNVD-2016-01342)</title><serverity>高</serverity><products><product>Ubuntu linux </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>Ubuntu </discovererName><referenceLink>http://www.securityfocus.com/bid/83354</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://www.ubuntu.com/</formalWay><description>Ubuntu是英国科能(Canonical)公司和Ubuntu基金会共同开发的一套以桌面应用为主的GNU/Linux操作系统。

Ubuntu Linux中存在本地提权漏洞。本地攻击者可利用该漏洞获取提升的权限。</description><patchName>Ubuntu Linux本地权限提升漏洞(CNVD-2016-01342)的补丁</patchName><patchDescription>Ubuntu是英国科能(Canonical)公司和Ubuntu基金会共同开发的一套以桌面应用为主的GNU/Linux操作系统。

Ubuntu Linux中存在本地提权漏洞。本地攻击者可利用该漏洞获取提升的权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01343</number><bids><bid><bidNumber>83355</bidNumber></bid></bids><title>Linux kernel ‘unix/af_unix.c’拒绝服务漏洞</title><serverity>中</serverity><products><product>Linux Kernel </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>Hannes Frederic Sowa. </discovererName><referenceLink>http://www.securityfocus.com/bid/83355</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://www.linux.org/</formalWay><description>Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。

Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞使系统崩溃,造成拒绝服务。</description><patchName>Linux kernel ‘unix/af_unix.c’拒绝服务漏洞的补丁</patchName><patchDescription>Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。

Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞使系统崩溃,造成拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01344</number><bids><bid><bidNumber>83356</bidNumber></bid></bids><title>Ubuntu Wily ‘programs/pt_chown.c’安全绕过漏洞</title><serverity>低</serverity><products><product>Ubuntu Wily </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>halfdog </discovererName><referenceLink>http://www.securityfocus.com/bid/83356</referenceLink><formalWay>目前没有详细的解决方案提供:
http://www.ubuntu.com/</formalWay><description>Ubuntu是英国科能(Canonical)公司和Ubuntu基金会共同开发的一套以桌面应用为主的GNU/Linux操作系统。Wily是Ubuntu的一个开发代号。

Ubuntu Wily中存在安全绕过漏洞。本地攻击者可利用该漏洞绕过安全限制,执行未授权操作。</description></vulnerability><vulnerability><number>CNVD-2016-01345</number><bids><bid><bidNumber>83357</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-1576</cveNumber></cve></cves><title>Ubuntu Linux本地权限提升漏洞</title><serverity>高</serverity><products><product>Ubuntu linux </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>Ubuntu </discovererName><referenceLink>http://www.securityfocus.com/bid/83357</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://www.ubuntu.com/</formalWay><description>Ubuntu是英国科能(Canonical)公司和Ubuntu基金会共同开发的一套以桌面应用为主的GNU/Linux操作系统。

Ubuntu Linux中存在本地提权漏洞。本地攻击者可利用该漏洞获取提升权限。</description><patchName>Ubuntu Linux本地权限提升漏洞的补丁</patchName><patchDescription>Ubuntu是英国科能(Canonical)公司和Ubuntu基金会共同开发的一套以桌面应用为主的GNU/Linux操作系统。

Ubuntu Linux中存在本地提权漏洞。本地攻击者可利用该漏洞获取提升权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01346</number><bids><bid><bidNumber>83363</bidNumber></bid></bids><title>Linux kernel 'usb/core/hub.c’拒绝服务漏洞</title><serverity>低</serverity><products><product>Linux Kernel </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>Alexandru Cornea </discovererName><referenceLink>http://www.securityfocus.com/bid/83363</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
https://www.kernel.org/</formalWay><description>Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。

Linux kernel中存在本地拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。</description><patchName>Linux kernel 'usb/core/hub.c’拒绝服务漏洞的补丁</patchName><patchDescription>Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。

Linux kernel中存在本地拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01347</number><bids><bid><bidNumber>83282</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-2086</cveNumber></cve></cves><title>Node.js HTTP请求走私漏洞</title><serverity>中</serverity><products><product>Joyent Node.js </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-02-29</openTime><discovererName>Régis Leroy. </discovererName><referenceLink>http://www.securityfocus.com/bid/83282</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://nodejs.org/</formalWay><description>Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序,以及编写能够处理数万条且同时连接到一个物理机的连接代码。

Joyent Node.j中存在HTTP请求走私攻击。远程攻击者可利用该漏洞损坏Web缓存,绕过安全防护,实施跨站脚本攻击、HTML注入攻击和会话劫持攻击。</description><patchName>Node.js HTTP请求走私漏洞的补丁</patchName><patchDescription>Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序,以及编写能够处理数万条且同时连接到一个物理机的连接代码。

Joyent Node.j中存在HTTP请求走私攻击。远程攻击者可利用该漏洞损坏Web缓存,绕过安全防护,实施跨站脚本攻击、HTML注入攻击和会话劫持攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01412</number><cves><cve><cveNumber>CVE-2016-0792</cveNumber></cve></cves><title>CloudBees Jenkins CI和LTS任意代码执行漏洞</title><serverity>高</serverity><products><product>CloudBees Jenkins CI </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-03-03</openTime><discovererName>unknown</discovererName><referenceLink>https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</formalWay><description>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS存在安全漏洞,允许攻击者可通过向API端点发送特制的XML文件执行任意代码。</description><patchName>CloudBees Jenkins CI和LTS任意代码执行漏洞的补丁</patchName><patchDescription>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS存在安全漏洞,允许攻击者可通过向API端点发送特制的XML文件执行任意代码。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01380</number><bids><bid><bidNumber>83328</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-5345</cveNumber></cve></cves><title>Apache Tomcat目录遍历漏洞(CNVD-2016-01380)</title><serverity>中</serverity><products><product>Apache Tomcat 6.0.0-6.0.44</product><product>Apache Tomcat 7.0.0-7.0.66</product><product>Apache Tomcat 8.0.0.RC1-8.0.29</product><product>Apache Tomcat 9.0.0.M1 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-03-01</openTime><discovererName>Mark Koek of QCSec </discovererName><referenceLink>http://tomcat.apache.org/security-9.html</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://tomcat.apache.org/
http://tomcat.apache.org/security-6.html</formalWay><description>Apache Tomcat是一个流行的开源JSP应用服务器程序。

Apache Tomcat在DefaultServlet的重定向实现中存在安全漏洞,攻击者通过构造的请求,利用此漏洞可检索受影响系统上的任意文件。</description><patchName>Apache Tomcat目录遍历漏洞(CNVD-2016-01380)的补丁</patchName><patchDescription>Apache Tomcat是一个流行的开源JSP应用服务器程序。

Apache Tomcat在DefaultServlet的重定向实现中存在安全漏洞,攻击者通过构造的请求,利用此漏洞可检索受影响系统上的任意文件。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01381</number><bids><bid><bidNumber>83323</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-5346</cveNumber></cve></cves><title>Apache Tomcat会话固定漏洞(CNVD-2016-01381)</title><serverity>中</serverity><products><product>Apache Tomcat 8.0.0.RC1-8.0.30</product><product>Apache Tomcat 9.0.0.M1 </product><product>Apache Tomcat 7.0.5-7.0.65</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-03-01</openTime><discovererName>Apache</discovererName><referenceLink>http://tomcat.apache.org/security-9.html</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://tomcat.apache.org/</formalWay><description>Apache Tomcat是一个流行的开源JSP应用服务器程序。

Apache Tomcat在requestedSessionSSL字段的实现上存在安全漏洞,攻击者利用此漏洞可劫持任意会话,获取受影响应用的访问权限。</description><patchName>Apache Tomcat会话固定漏洞(CNVD-2016-01381)的补丁</patchName><patchDescription>Apache Tomcat是一个流行的开源JSP应用服务器程序。

Apache Tomcat在requestedSessionSSL字段的实现上存在安全漏洞,攻击者利用此漏洞可劫持任意会话,获取受影响应用的访问权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01382</number><bids><bid><bidNumber>83326</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-0763</cveNumber></cve></cves><title>Apache Tomcat Security Manager安全限制绕过漏洞</title><serverity>中</serverity><products><product>Apache Tomcat 7.0.0-7.0.67</product><product>Apache Tomcat 8.0.0.RC1-8.0.30</product><product>Apache Tomcat 9.0.0.M1-9.0.0.M2 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-26</submitTime><openTime>2016-03-01</openTime><discovererName>Apache Tomcat security team </discovererName><referenceLink>http://tomcat.apache.org/security-9.html</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://tomcat.apache.org/</formalWay><description>Apache Tomcat是一个流行的开源JSP应用服务器程序。

Apache Tomcat Security Manager在ResourceLinkFactory.setGlobalContext()公共方法的实现上存在安全限制绕过漏洞,攻击者通过恶意的web应用注入全局上下文,利用此漏洞可破坏其他web应用或读写应用数据。</description><patchName>Apache Tomcat Security Manager安全限制绕过漏洞的补丁</patchName><patchDescription>Apache Tomcat是一个流行的开源JSP应用服务器程序。

Apache Tomcat Security Manager在ResourceLinkFactory.setGlobalContext()公共方法的实现上存在安全限制绕过漏洞,攻击者通过恶意的web应用注入全局上下文,利用此漏洞可破坏其他web应用或读写应用数据。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01384</number><bids><bid><bidNumber>83261</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-2390</cveNumber></cve></cves><title>Squid拒绝服务漏洞(CNVD-2016-01384)</title><serverity>中</serverity><products><product>Squid Squid </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Christos Tsantilas of The Measurement Factory. </discovererName><referenceLink>http://www.securityfocus.com/bid/83261</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.squid-cache.org/Advisories/</formalWay><description>Squid是一套代理服务器和Web缓存服务器软件。

Squid存在安全漏洞,允许远程攻击者利用该漏洞提交特殊请求,使应用程序崩溃,造成拒绝服务。</description><patchName>Squid拒绝服务漏洞(CNVD-2016-01384)的补丁</patchName><patchDescription>Squid是一套代理服务器和Web缓存服务器软件。

Squid存在安全漏洞,允许远程攻击者利用该漏洞提交特殊请求,使应用程序崩溃,造成拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01383</number><bids><bid><bidNumber>83253</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7511</cveNumber></cve></cves><title>GNU Libgcrypt安全绕过漏洞</title><serverity>中</serverity><products><product>GNU libgcrypt <1.6.5</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Daniel Genkin, Lev Pachmanov, Itamar Pipman, and Eran Tromer. </discovererName><referenceLink>http://www.securityfocus.com/bid/83253</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.gnu.org/software/libgcrypt/</formalWay><description>GNU Libgcrypt是GNU计划开发的一个基于GnuPG代码的通用加密库。

GNU Libgcrypt存在安全漏洞,允许攻击者利用该漏洞执行未授权操作。</description><patchName>GNU Libgcrypt安全绕过漏洞的补丁</patchName><patchDescription>GNU Libgcrypt是GNU计划开发的一个基于GnuPG代码的通用加密库。

GNU Libgcrypt存在安全漏洞,允许攻击者利用该漏洞执行未授权操作。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01368</number><bids><bid><bidNumber>83275</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-8778</cveNumber></cve></cves><title>GNU glibc ‘misc/hsearch_r.c’整数溢出漏洞</title><serverity>中</serverity><products><product>GNU glibc </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>GNU </discovererName><referenceLink>http://www.securityfocus.com/bid/83275</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.gnu.org/software/libc/</formalWay><description>GNU glibc是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU glibc ‘misc/hsearch_r.c’存在远程整数溢出漏洞,允许攻击者可利用该漏洞使应用程序崩溃,造成拒绝服务攻击。</description><patchName>GNU glibc ‘misc/hsearch_r.c’整数溢出漏洞的补丁</patchName><patchDescription>GNU glibc是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU glibc ‘misc/hsearch_r.c’存在远程整数溢出漏洞,允许攻击者可利用该漏洞使应用程序崩溃,造成拒绝服务攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01369</number><bids><bid><bidNumber>83277</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-8776</cveNumber></cve></cves><title>GNU glibc ‘strftime()’函数内存破坏漏洞</title><serverity>中</serverity><products><product>GNU glibc </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Florian Weimer </discovererName><referenceLink>http://www.securityfocus.com/bid/83277</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.gnu.org/software/libc/</formalWay><description>GNU glibc是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU glibc ‘strftime()’函数存在内存破坏漏洞,允许攻击者利用该漏洞使应用程序崩溃,造成拒绝服务攻击。</description><patchName>GNU glibc ‘strftime()’函数内存破坏漏洞的补丁</patchName><patchDescription>GNU glibc是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU glibc ‘strftime()’函数存在内存破坏漏洞,允许攻击者利用该漏洞使应用程序崩溃,造成拒绝服务攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01370</number><bids><bid><bidNumber>83322</bidNumber></bid></bids><title>Huawei Document Security Manager信息泄露漏洞</title><serverity>低</serverity><products><product>Huawei Document Security Manager </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Huawei</discovererName><referenceLink>http://www.securityfocus.com/bid/83322</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.huawei.com/</formalWay><description>Huawei Document Security Manager是中国华为一套文档权限管理软件。

Huawei Document Security Manager存在信安全漏洞,允许远程攻击者可利用该漏洞获取敏感信息。</description><patchName>Huawei Document Security Manager信息泄露漏洞的补丁</patchName><patchDescription>Huawei Document Security Manager是中国华为一套文档权限管理软件。

Huawei Document Security Manager存在信安全漏洞,允许远程攻击者可利用该漏洞获取敏感信息。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01371</number><bids><bid><bidNumber>83301</bidNumber></bid></bids><title>Joyent SmartOS存在多个漏洞</title><serverity>高</serverity><products><product>Joyent SmartOS </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Ben Murphy </discovererName><referenceLink>http://www.securityfocus.com/bid/83301</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://smartos.org/</formalWay><description>Joyent SmartOS是美国Joyent公司的一套开源的操作系统。

Joyent SmartOS存在本地提权、本地信息泄露漏、本地整数溢出漏洞,允许攻击者利用漏洞获取敏感信息,执行任意代码等。</description><patchName>Joyent SmartOS存在多个漏洞的补丁</patchName><patchDescription>Joyent SmartOS是美国Joyent公司的一套开源的操作系统。

Joyent SmartOS存在本地提权、本地信息泄露漏、本地整数溢出漏洞,允许攻击者利用漏洞获取敏感信息,执行任意代码等。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01372</number><bids><bid><bidNumber>83263</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-2391</cveNumber></cve></cves><title>QEMU ‘hw/usb/hcd-ohci.c’拒绝服务漏洞</title><serverity>中</serverity><products><product>QEMU QEMU </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Zuozhi Fzz of Alibaba Inc. </discovererName><referenceLink>http://www.securityfocus.com/bid/83263</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://wiki.qemu.org/</formalWay><description>QEMU是一套模拟处理器软件。

QEMU ‘hw/usb/hcd-ohci.c’存在安全漏洞,允许攻击者可利用该漏洞使QEMU进程崩溃,造成拒绝服务。</description><patchName>QEMU ‘hw/usb/hcd-ohci.c’拒绝服务漏洞的补丁</patchName><patchDescription>QEMU是一套模拟处理器软件。

QEMU ‘hw/usb/hcd-ohci.c’存在安全漏洞,允许攻击者可利用该漏洞使QEMU进程崩溃,造成拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01373</number><bids><bid><bidNumber>83162</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7529</cveNumber></cve></cves><title>sos不安全文件权限漏洞</title><serverity>高</serverity><products><product>sos sos </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Mateusz Guzik of Red Hat </discovererName><referenceLink>http://www.securityfocus.com/bid/83162</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://github.com/sosreport/sos</formalWay><description>sos是一套可扩展的基于Linux和其它类Unix操作系统用于收集系统日志和其他调试信息的工具。

sos存在不安全文件权限漏洞,允许本地攻击者可利用该漏洞提升权限。</description><patchName>sos不安全文件权限漏洞的补丁</patchName><patchDescription>sos是一套可扩展的基于Linux和其它类Unix操作系统用于收集系统日志和其他调试信息的工具。

sos存在不安全文件权限漏洞,允许本地攻击者可利用该漏洞提升权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01374</number><bids><bid><bidNumber>83279</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-0225</cveNumber></cve></cves><title>IBM WebSphere Commerce信息泄露漏洞(CNVD-2016-01374)</title><serverity>中</serverity><products><product>IBM Websphere Commerce </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>IBM </discovererName><referenceLink>http://www.securityfocus.com/bid/83279</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.huawei.com/</formalWay><description>IBM WebSphere Commerce是一套电子商务解决方案。

IBM WebSphere Commerce存在安全漏洞。攻击者可利用该漏洞提交特殊请求获取敏感信息。</description><patchName>IBM WebSphere Commerce信息泄露漏洞(CNVD-2016-01374)的补丁</patchName><patchDescription>IBM WebSphere Commerce是一套电子商务解决方案。

IBM WebSphere Commerce存在安全漏洞。攻击者可利用该漏洞提交特殊请求获取敏感信息。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01375</number><cves><cve><cveNumber>CVE-2016-0788</cveNumber></cve></cves><title>CloudBees Jenkins CI和LTS远程代码执行漏洞</title><serverity>高</serverity><products><product>CloudBees Jenkins CI </product><product>CloudBees LTS </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Moritz Bechler </discovererName><referenceLink>https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</formalWay><description>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS存在远程代码执行漏洞,允许远程攻击者可利用该漏洞打开托管Jenkins主进程的服务器上的JRMP监听器,执行任意代码。</description><patchName>CloudBees Jenkins CI和LTS远程代码执行漏洞的补丁</patchName><patchDescription>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS存在远程代码执行漏洞,允许远程攻击者可利用该漏洞打开托管Jenkins主进程的服务器上的JRMP监听器,执行任意代码。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01376</number><cves><cve><cveNumber>CVE-2016-0789</cveNumber></cve></cves><title>CloudBees Jenkins CI和LTS拆分响应漏洞</title><serverity>中</serverity><products><product>CloudBees Jenkins CI </product><product>CloudBees LTS </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Seung-Hyun Cho</discovererName><referenceLink>https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</formalWay><description>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS CLI命令文件中存在HTTP响应拆分漏洞,允许远程攻击者可利用该漏洞提交特殊请求创建包含恶意内容的Jenkins URL。</description><patchName>CloudBees Jenkins CI和LTS拆分响应漏洞的补丁</patchName><patchDescription>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS CLI命令文件中存在HTTP响应拆分漏洞,允许远程攻击者可利用该漏洞提交特殊请求创建包含恶意内容的Jenkins URL。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01377</number><cves><cve><cveNumber>CVE-2016-0790</cveNumber></cve></cves><title>CloudBees Jenkins CI和LTS API令牌漏洞</title><serverity>中</serverity><products><product>CloudBees Jenkins CI </product><product>CloudBees LTS </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Steve Marlowe <[email protected]> of Cisco ASIG</discovererName><referenceLink>https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</formalWay><description>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS未能使用时间常量算法验证用户提供的API令牌,允许攻击者可通过实施暴力破解攻击使用统计方法确定有效的API令牌。</description><patchName>CloudBees Jenkins CI和LTS API令牌漏洞的补丁</patchName><patchDescription>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS未能使用时间常量算法验证用户提供的API令牌,允许攻击者可通过实施暴力破解攻击使用统计方法确定有效的API令牌。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01378</number><cves><cve><cveNumber>CVE-2016-0791</cveNumber></cve></cves><title>CloudBees Jenkins CI和LTS API令牌统计漏洞</title><serverity>中</serverity><products><product>CloudBees Jenkins CI </product><product>CloudBees LTS </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>James Nord, CloudBees, Inc</discovererName><referenceLink>https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://wiki.jenkins-ci.org/display/SECURITY/Security+Advisory+2016-02-24</formalWay><description>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS未能使用时间常量算法验证用户提供的CSRF crumbs令牌,允许攻击者可通过实施暴力破解攻击使用统计方法确定有效的CSRF crumbs令牌。</description><patchName>CloudBees Jenkins CI和LTS API令牌统计漏洞的补丁</patchName><patchDescription>CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。

CloudBees Jenkins CI和LTS未能使用时间常量算法验证用户提供的CSRF crumbs令牌,允许攻击者可通过实施暴力破解攻击使用统计方法确定有效的CSRF crumbs令牌。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01379</number><bids><bid><bidNumber>83197</bidNumber></bid></bids><title>D-Link DSL-2750B任意命令执行漏洞</title><serverity>中</serverity><products><product>D-Link DSL-2750B Router </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>p@ql </discovererName><referenceLink>http://www.securityfocus.com/bid/83197</referenceLink><formalWay>目前没有详细的解决方案提供:
http://www.exponentcms.org/</formalWay><description>D-Link DSL-2750B是一款Model路由器产品。

D-Link DSL-2750B存在安全漏洞,允许远程攻击者可利用该漏洞提交特殊请求执行任意代码,检索敏感信息。</description></vulnerability><vulnerability><number>CNVD-2016-01394</number><bids><bid><bidNumber>83306</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2014-9761</cveNumber></cve></cves><title>GNU glibc栈缓冲区溢出漏洞(CNVD-2016-01394)</title><serverity>中</serverity><products><product>GNU glibc </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>GNU</discovererName><referenceLink>http://www.securityfocus.com/bid/83306</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.gnu.org/software/libc/</formalWay><description>GNU glibc是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU glibc存在栈缓冲区溢出漏洞,允许攻击者可利用该漏洞使链接此库的应用程序崩溃,造成拒绝服务攻击。</description><patchName>GNU glibc栈缓冲区溢出漏洞(CNVD-2016-01394)的补丁</patchName><patchDescription>GNU glibc是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU glibc存在栈缓冲区溢出漏洞,允许攻击者可利用该漏洞使链接此库的应用程序崩溃,造成拒绝服务攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01393</number><bids><bid><bidNumber>83245</bidNumber></bid></bids><title>HD Video Player PRO存在多个漏洞</title><serverity>高</serverity><products><product>HD Video Player PRO HD Video Player PRO 2.5</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Benjamin Kunz Mejri </discovererName><referenceLink>http://www.securityfocus.com/bid/83245</referenceLink><formalWay>目前没有详细的解决方案提供:
https://itunes.apple.com/in/app/hd-video-player-video-player/id983123556?mt=8</formalWay><description>HD Video Player PRO是一套播放器软件。该软件支持任何格式的视频、音频的播放等。

HD Video Player PRO存在本地文件包含和任意文件上传漏洞,允许攻击者利用这些漏洞上传任意文件,读取系统文件内容。</description></vulnerability><vulnerability><number>CNVD-2016-01392</number><cves><cve><cveNumber>CVE-2105-7432</cveNumber></cve></cves><title>IBM Capacity Management Analytics本地信息泄露漏洞(CNVD-2016-01392)</title><serverity>低</serverity><products><product>IBM Capacity Management Analytics </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>IBM</discovererName><referenceLink>http://www-01.ibm.com/support/docview.wss?uid=swg21974558</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www-01.ibm.com/support/docview.wss?uid=swg21974558</formalWay><description>IBM Capacity Management Analytics是一套用于管理和预测IBM zEnterprise基础架构资源的使用情况的容量管理分析解决方案。

IBM Capacity Management Analytics存在本地安全漏洞,允许本地攻击者可利用该漏洞获取敏感信息。</description><patchName>IBM Capacity Management Analytics本地信息泄露漏洞(CNVD-2016-01392)的补丁</patchName><patchDescription>IBM Capacity Management Analytics是一套用于管理和预测IBM zEnterprise基础架构资源的使用情况的容量管理分析解决方案。

IBM Capacity Management Analytics存在本地安全漏洞,允许本地攻击者可利用该漏洞获取敏感信息。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01391</number><title>JasPer 'jas_matrix_create()'函数远程整数溢出漏洞</title><serverity>高</serverity><products><product>Jasper JasPer </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>unknown</discovererName><referenceLink>http://www.ece.uvic.ca/~frodo/software.html</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.ece.uvic.ca/~frodo/software.html</formalWay><description>JasPer是一个JPEG-2000编解码器的开源实现。

JasPer存在远程整数溢出漏洞,允许攻击者可利用该漏洞构建恶意文件,诱使应用解析,可使应用程序崩溃。</description><patchName>JasPer ‘jas_matrix_create()’函数远程整数溢出漏洞的补丁</patchName><patchDescription>JasPer是一个JPEG-2000编解码器的开源实现。

JasPer存在远程整数溢出漏洞,允许攻击者可利用该漏洞构建恶意文件,诱使应用解析,可使应用程序崩溃。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01390</number><bids><bid><bidNumber>83218</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-8812</cveNumber></cve></cves><title>Linux kernel本地权限提升漏洞(CNVD-2016-01390)</title><serverity>高</serverity><products><product>Linux Kernel </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Venkatesh Pottem of Red Hat Engineering </discovererName><referenceLink>http://www.securityfocus.com/bid/83218</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.kernel.org/</formalWay><description>Linux kernel是一款开源的操作系统。

Linux kernel存在安全漏洞,允许本地攻击者可利用该漏洞提升权限。</description><patchName>Linux kernel本地权限提升漏洞(CNVD-2016-01390)的补丁</patchName><patchDescription>Linux kernel是一款开源的操作系统。

Linux kernel存在安全漏洞,允许本地攻击者可利用该漏洞提升权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01389</number><bids><bid><bidNumber>83249</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-2242</cveNumber></cve></cves><title>OIC Exponent CMS远程代码执行漏洞</title><serverity>高</serverity><products><product>Exponent Exponent CMS 2.3.7</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>High-tech brigade research lab.</discovererName><referenceLink>http://www.securityfocus.com/bid/83249</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.exponentcms.org/</formalWay><description>OIC Exponent CMS是一套基于PHP的免费、开源的模块化内容管理系统。

OIC Exponent CMS中存在安全漏洞,允许远程攻击者可利用该漏洞提交特殊请求在受影响系统上下文中执行任意PHP代码。</description><patchName>OIC Exponent CMS远程代码执行漏洞的补丁</patchName><patchDescription>OIC Exponent CMS是一套基于PHP的免费、开源的模块化内容管理系统。

OIC Exponent CMS中存在安全漏洞,允许远程攻击者可利用该漏洞提交特殊请求在受影响系统上下文中执行任意PHP代码。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01388</number><cves><cve><cveNumber>CVE-2015-7262</cveNumber></cve></cves><title>QNAP Systems iArtist Lite命令执行漏洞</title><serverity>高</serverity><products><product>QNAP iArtist Lite <1.4.54</product><product>QNAP Signage Station <2.0.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Mark Woods</discovererName><referenceLink>http://www.kb.cert.org/vuls/id/444472</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.qnap.com/</formalWay><description>QNAP Systems iArtist Lite是一套用于QNAP NAS的广告编辑软件。

QNAP Systems iArtist Lite中存在安全漏洞,允许远程攻击者可利用该漏洞以SYSTEM权限执行任意二进制命令。</description><patchName>QNAP Systems iArtist Lite命令执行漏洞的补丁</patchName><patchDescription>QNAP Systems iArtist Lite是一套用于QNAP NAS的广告编辑软件。

QNAP Systems iArtist Lite中存在安全漏洞,允许远程攻击者可利用该漏洞以SYSTEM权限执行任意二进制命令。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01387</number><cves><cve><cveNumber>CVE-2015-7261</cveNumber></cve></cves><title>QNAP Systems iArtist Lite硬编码漏洞</title><serverity>中</serverity><products><product>QNAP iArtist Lite <1.4.54</product><product>QNAP Signage Station <2.0.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Mark Woods</discovererName><referenceLink>http://www.kb.cert.org/vuls/id/444472</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.qnap.com/</formalWay><description>QNAP Systems iArtist Lite是一套用于QNAP NAS的广告编辑软件。

QNAP Systems iArtist Lite使用硬编码的FTP账户和密码,允许远程攻击者可通过嗅探网络获取FTP传输数据。</description><patchName>QNAP Systems iArtist Lite硬编码漏洞的补丁</patchName><patchDescription>QNAP Systems iArtist Lite是一套用于QNAP NAS的广告编辑软件。

QNAP Systems iArtist Lite使用硬编码的FTP账户和密码,允许远程攻击者可通过嗅探网络获取FTP传输数据。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01386</number><cves><cve><cveNumber>CVE-2015-6036</cveNumber></cve></cves><title>QNAP Systems Signage Station身份验证绕过漏洞</title><serverity>中</serverity><products><product>QNAP Signage Station <2.0.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Mark Woods</discovererName><referenceLink>http://www.kb.cert.org/vuls/id/444472</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.qnap.com/</formalWay><description>QNAP Systems Signage Station是一套用于QNAP NAS的广告制作应用程序。

QNAP Systems Signage Station存在身份验证绕过漏洞,允许远程攻击者可通过发送伪造的HTTP请求执行未授权操作。</description><patchName>QNAP Systems Signage Station身份验证绕过漏洞的补丁</patchName><patchDescription>QNAP Systems Signage Station是一套用于QNAP NAS的广告制作应用程序。

QNAP Systems Signage Station存在身份验证绕过漏洞,允许远程攻击者可通过发送伪造的HTTP请求执行未授权操作。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01385</number><cves><cve><cveNumber>CVE-2015-6022</cveNumber></cve></cves><title>QNAP Systems Signage Station脚本执行漏洞</title><serverity>高</serverity><products><product>QNAP Signage Station <2.0.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Mark Woods</discovererName><referenceLink>http://www.kb.cert.org/vuls/id/444472</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.qnap.com/</formalWay><description>QNAP Systems Signage Station是一套用于QNAP NAS的广告制作应用程序。

QNAP Systems Signage Station存在安全漏洞,允许远程攻击者可利用可预测的URL上传恶意的文件,并以管理员权限执行文件中的脚本。</description><patchName>QNAP Systems Signage Station脚本执行漏洞的补丁</patchName><patchDescription>QNAP Systems Signage Station是一套用于QNAP NAS的广告制作应用程序。

QNAP Systems Signage Station存在安全漏洞,允许远程攻击者可利用可预测的URL上传恶意的文件,并以管理员权限执行文件中的脚本。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01396</number><bids><bid><bidNumber>83296</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-2402</cveNumber></cve></cves><title>Square OkHttp安全绕过漏洞</title><serverity>中</serverity><products><product>Square OkHttp </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Matthew McPherrin. </discovererName><referenceLink>http://www.securityfocus.com/bid/83296</referenceLink><formalWay>目前没有详细的解决方案提供:
https://github.com/square/okhttp</formalWay><description>Square OkHttp是一套用于Android系统和Java应用程序的HTTP和HTTP /2客户端软件。

Square OkHttp存在安全漏洞,允许远程攻击者可利用该漏洞绕过安全限制,执行未授权操作。</description></vulnerability><vulnerability><number>CNVD-2016-01395</number><bids><bid><bidNumber>83163</bidNumber></bid></bids><title>Textual远程命令执行漏洞</title><serverity>高</serverity><products><product>Codeux Textual <5.2.8</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>Shubham Shah and Joe DeMesy of Bishop Fox. </discovererName><referenceLink>http://www.securityfocus.com/bid/83163</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://www.codeux.com/</formalWay><description>Textual是一套用于Mac操作系统的互联网多线交谈客户端软件。

Textual存在远程命令执行漏洞,允许远程攻击者可利用该漏洞提交特殊请求执行任意命令。</description><patchName>Textual远程命令执行漏洞的补丁</patchName><patchDescription>Textual是一套用于Mac操作系统的互联网多线交谈客户端软件。

Textual存在远程命令执行漏洞,允许远程攻击者可利用该漏洞提交特殊请求执行任意命令。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01397</number><cves><cve><cveNumber>CVE-2016-2511</cveNumber></cve></cves><title>websvn跨站脚本漏洞</title><serverity>中</serverity><products><product>Websvn websvn </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>unknown</discovererName><referenceLink>https://www.auscert.org.au/render.html?it=31526</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://www.websvn.info/</formalWay><description>WebSVN是一套基于Web的Subversion Repository浏览器,它可查看文件或文件夹的日志、查看文件的变化列表、添加或删除任意版本号等。

WebSVN中存在跨站脚本漏洞,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。</description><patchName>websvn跨站脚本漏洞的补丁</patchName><patchDescription>WebSVN是一套基于Web的Subversion Repository浏览器,它可查看文件或文件夹的日志、查看文件的变化列表、添加或删除任意版本号等。

WebSVN中存在跨站脚本漏洞,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01398</number><bids><bid><bidNumber>83216</bidNumber></bid></bids><title>WordPress Duplicator插件跨站请求伪造漏洞</title><serverity>中</serverity><products><product>WordPress Duplicator Plugin </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>RatioSec Research. </discovererName><referenceLink>http://www.securityfocus.com/bid/83216</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://cn.wordpress.org/plugins/duplicator/</formalWay><description>WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Duplicator是其中的一个用于将一个网站迁移/克隆到另一个位置的扩展插件。

WordPress Duplicator插件中存在跨站请求伪造漏洞,允许远程攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作。</description><patchName>WordPress Duplicator插件跨站请求伪造漏洞的补丁</patchName><patchDescription>WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。Duplicator是其中的一个用于将一个网站迁移/克隆到另一个位置的扩展插件。

WordPress Duplicator插件中存在跨站请求伪造漏洞,允许远程攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01399</number><cves><cve><cveNumber>CVE-2016-0729</cveNumber></cve></cves><title>xerces-c缓冲区溢出漏洞</title><serverity>中</serverity><products><product>Apache xerces-c </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>unknown</discovererName><referenceLink>https://www.auscert.org.au/render.html?it=31598</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://xerces.apache.org/xerces-c/</formalWay><description>xerces-c是一套使用C++开发的用于验证XML解析器软件。

xerces-c未能正确处理畸形输入文档的特定类型,允许远程攻击者可利用该漏洞进行拒绝服务攻击或执行任意代码。</description><patchName>xerces-c缓冲区溢出漏洞的补丁</patchName><patchDescription>xerces-c是一套使用C++开发的用于验证XML解析器软件。

xerces-c未能正确处理畸形输入文档的特定类型,允许远程攻击者可利用该漏洞进行拒绝服务攻击或执行任意代码。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01405</number><bids><bid><bidNumber>83149</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7572</cveNumber></cve></cves><title>Yeager跨站脚本漏洞</title><serverity>中</serverity><products><product>Yeager Yeager </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>SEC Consult Vulnerability Lab. </discovererName><referenceLink>http://www.securityfocus.com/bid/83149</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://yeager.cm/</formalWay><description>Yeager是一套开源的内容管理系统。

Yeager存在跨站脚本漏洞,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。</description><patchName>Yeager跨站脚本漏洞的补丁</patchName><patchDescription>Yeager是一套开源的内容管理系统。

Yeager存在跨站脚本漏洞,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01404</number><bids><bid><bidNumber>83149</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7571</cveNumber></cve></cves><title>Yeager任意文件上传漏洞</title><serverity>高</serverity><products><product>Yeager Yeager </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>SEC Consult Vulnerability Lab. </discovererName><referenceLink>http://www.securityfocus.com/bid/83149</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://yeager.cm/</formalWay><description>Yeager是一套开源的内容管理系统。

Yeager存在安全漏洞,允许远程攻击者利用漏洞提交特殊请求上传任意文件并执行。</description><patchName>Yeager任意文件上传漏洞的补丁</patchName><patchDescription>Yeager是一套开源的内容管理系统。

Yeager存在安全漏洞,允许远程攻击者利用漏洞提交特殊请求上传任意文件并执行。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01403</number><bids><bid><bidNumber>83149</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7570</cveNumber></cve></cves><title>Yeager跨站请求伪造漏洞</title><serverity>中</serverity><products><product>Yeager Yeager </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>SEC Consult Vulnerability Lab. </discovererName><referenceLink>http://www.securityfocus.com/bid/83149</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://yeager.cm/</formalWay><description>Yeager是一套开源的内容管理系统。

Yeager存在跨站请求伪造漏洞,允许远程攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作。</description><patchName>Yeager跨站请求伪造漏洞的补丁</patchName><patchDescription>Yeager是一套开源的内容管理系统。

Yeager存在跨站请求伪造漏洞,允许远程攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01402</number><bids><bid><bidNumber>83149</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7569</cveNumber></cve></cves><title>Yeager SQL注入漏洞</title><serverity>高</serverity><products><product>Yeager Yeager </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>SEC Consult Vulnerability Lab. </discovererName><referenceLink>http://www.securityfocus.com/bid/83149</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://yeager.cm/</formalWay><description>Yeager是一套开源的内容管理系统。

Yeager存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。</description><patchName>Yeager SQL注入漏洞的补丁</patchName><patchDescription>Yeager是一套开源的内容管理系统。

Yeager存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01401</number><bids><bid><bidNumber>83149</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7568</cveNumber></cve></cves><title>Yeager SQL注入漏洞(CNVD-2016-01401)</title><serverity>高</serverity><products><product>Yeager Yeager </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>SEC Consult Vulnerability Lab. </discovererName><referenceLink>http://www.securityfocus.com/bid/83149</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://yeager.cm/</formalWay><description>Yeager是一套开源的内容管理系统。

Yeager存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。</description><patchName>Yeager SQL注入漏洞(CNVD-2016-01401)的补丁</patchName><patchDescription>Yeager是一套开源的内容管理系统。

Yeager存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01400</number><bids><bid><bidNumber>83149</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2015-7567</cveNumber></cve></cves><title>Yeager SQL注入漏洞(CNVD-2016-01400)</title><serverity>高</serverity><products><product>Yeager Yeager </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-02-27</submitTime><openTime>2016-03-02</openTime><discovererName>SEC Consult Vulnerability Lab. </discovererName><referenceLink>http://www.securityfocus.com/bid/83149</referenceLink><formalWay>用户可参考如下厂商提供的安全补丁以修复该漏洞:
http://yeager.cm/</formalWay><description>Yeager是一套开源的内容管理系统。

Yeager存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。</description><patchName>Yeager SQL注入漏洞(CNVD-2016-01400)的补丁</patchName><patchDescription>Yeager是一套开源的内容管理系统。

Yeager存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01411</number><cves><cve><cveNumber>CVE-2016-2522</cveNumber></cve></cves><title>Wireshark ASN.1 BER解析器拒绝服务漏洞</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-01</submitTime><openTime>2016-03-02</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2522</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark ASN.1 BER解析器存在拒绝服务漏洞,攻击者利用此漏洞可造成拒绝服务(越界读及应用崩溃)。</description><patchName>Wireshark ASN.1 BER解析器拒绝服务漏洞的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark ASN.1 BER解析器存在拒绝服务漏洞,攻击者利用此漏洞可造成拒绝服务(越界读及应用崩溃)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01410</number><cves><cve><cveNumber>CVE-2016-2530</cveNumber></cve></cves><title>Wireshark dissct_rsl_ipaccess_msg函数拒绝服务漏洞</title><serverity>高</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product><product>Wireshark Wireshark 1.12.x(<1.12.10) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-01</submitTime><openTime>2016-03-02</openTime><discovererName>Mateusz Jurczyk </discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2530</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark dissct_rsl_ipaccess_msg函数存在拒绝服务漏洞,远程攻击者利用此漏洞可造成拒绝服务(越界读或应用崩溃)。</description><patchName>Wireshark dissct_rsl_ipaccess_msg函数拒绝服务漏洞的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark dissct_rsl_ipaccess_msg函数存在拒绝服务漏洞,远程攻击者利用此漏洞可造成拒绝服务(越界读或应用崩溃)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01409</number><cves><cve><cveNumber>CVE-2016-2521</cveNumber></cve></cves><title>Wireshark WiresharkApplication类可疑搜索路径漏洞</title><serverity>高</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product><product>Wireshark Wireshark 1.12.x(<1.12.10) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-01</submitTime><openTime>2016-03-02</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2521</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark ui/qt/wireshark_application.cpp内的WiresharkApplication类存在可疑搜索路径漏洞,攻击者通过当前工作目录内的riched20.dll.dll木马文件,可利用该漏洞提升权限。</description><patchName>Wireshark WiresharkApplication类可疑搜索路径漏洞的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。


Wireshark ui/qt/wireshark_application.cpp内的WiresharkApplication类存在可疑搜索路径漏洞,攻击者通过当前工作目录内的riched20.dll.dll木马文件,可利用该漏洞提升权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01408</number><cves><cve><cveNumber>CVE-2016-2523</cveNumber></cve></cves><title>Wireshark DNP3解析器拒绝服务漏洞</title><serverity>高</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product><product>Wireshark Wireshark 1.12.x(<1.12.10) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-01</submitTime><openTime>2016-03-02</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>http://www.linuxidc.com/Linux/2016-02/128753.htm</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark在DNP3解析器的实现上,epan/dissectors/packet-dnp.c内的函数dnp3_al_process_object存在安全漏洞,远程攻击者利用此漏洞可造成拒绝服务(应用崩溃)。</description><patchName>Wireshark DNP3解析器拒绝服务漏洞的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark在DNP3解析器的实现上,epan/dissectors/packet-dnp.c内的函数dnp3_al_process_object存在安全漏洞,远程攻击者利用此漏洞可造成拒绝服务(应用崩溃)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01407</number><cves><cve><cveNumber>CVE-2016-2526</cveNumber></cve></cves><title>Wireshark HiQnet解析器拒绝服务漏洞</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-01</submitTime><openTime>2016-03-02</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2526</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark HiQnet解析器存在拒绝服务漏洞,远程攻击者利用此漏洞可造成拒绝服务(越界读或应用崩溃)。</description><patchName>Wireshark HiQnet解析器拒绝服务漏洞的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark HiQnet解析器存在拒绝服务漏洞,远程攻击者利用此漏洞可造成拒绝服务(越界读或应用崩溃)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01406</number><cves><cve><cveNumber>CVE-2016-2524</cveNumber></cve></cves><title>Wireshark X.509AF解析器拒绝服务漏洞</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-01</submitTime><openTime>2016-03-02</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2524</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark X.509AF解析器存在拒绝服务漏洞,远程攻击者利用此漏洞可造成拒绝服务(应用崩溃)。</description><patchName>Wireshark X.509AF解析器拒绝服务漏洞的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark X.509AF解析器存在拒绝服务漏洞,远程攻击者利用此漏洞可造成拒绝服务(应用崩溃)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01415</number><cves><cve><cveNumber>CVE-2016-2561</cveNumber></cve></cves><title>phpMyAdmin跨站脚本漏洞(CNVD-2016-01415)</title><serverity>中</serverity><products><product>phpMyAdmin phpMyAdmin 4.4.x(<4.4.15.5)</product><product>phpMyAdmin phpMyAdmin 4.5.x(<4.5.5.1) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName> Emanuel Bronshtein @e3amn2l </discovererName><referenceLink>https://www.phpmyadmin.net/security/PMASA-2016-12/</referenceLink><formalWay>用户可参考如下供应商提供的安全公告获得补丁信息: 
https://www.phpmyadmin.net/security/PMASA-2016-12/</formalWay><description>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin 4.4.15.5之前版本和4.5.5.1之前版本中存在跨站脚本漏洞。攻击者可利用该漏洞借助特定的表名、列名或参数注入任意Web脚本或HTML。</description><patchName>phpMyAdmin跨站脚本漏洞(CNVD-2016-01415)的补丁</patchName><patchDescription>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin 4.4.15.5之前版本和4.5.5.1之前版本中存在跨站脚本漏洞。攻击者可利用该漏洞借助特定的表名、列名或参数注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01414</number><cves><cve><cveNumber>CVE-2016-1353</cveNumber></cve></cves><title>Cisco VDS-IS资源管理错误漏洞</title><serverity>中</serverity><products><product>Cisco Videoscape Distribution Suite for Internet Streaming (VDS-IS) 3.3(0)</product><product>Cisco Videoscape Distribution Suite for Internet Streaming (VDS-IS) 3.3(1)</product><product>Cisco Videoscape Distribution Suite for Internet Streaming (VDS-IS) 4.0(0)</product><product>Cisco Videoscape Distribution Suite for Internet Streaming (VDS-IS) 4.1(0)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>Cisco</discovererName><referenceLink>https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160226-vds-is</referenceLink><formalWay>用户可参考如下供应商提供的安全公告获得补丁信息: 
http://www.cisco.com/</formalWay><description>Cisco VDS-IS (Videoscape Distribution Suite for Internet Streaming)思科公司的一套针对网络流媒体的内容分发系统解决方案。

由于程序未能正确管理处于TCP FIN等待状态的TCP会话,Cisco VDS-IS中存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务。</description><patchName>Cisco VDS-IS资源管理错误漏洞的补丁</patchName><patchDescription>Cisco VDS-IS (Videoscape Distribution Suite for Internet Streaming)思科公司的一套针对网络流媒体的内容分发系统解决方案。

由于程序未能正确管理处于TCP FIN等待状态的TCP会话,Cisco VDS-IS中存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01413</number><cves><cve><cveNumber>CVE-2016-2568</cveNumber></cve></cves><title>Red Hat PolicyKit pkexec命令执行漏洞</title><serverity>高</serverity><products><product>Red Hat PolicyKit <=0.113</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>[email protected]</discovererName><referenceLink>http://www.openwall.com/lists/oss-security/2016/02/25/6</referenceLink><formalWay>用户可参考如下供应商提供的安全公告获得补丁信息: 
http://www.freedesktop.org/wiki/Software/PolicyKit/</formalWay><description>Red Hat PolicyKit是Red Hat公司的一个用于在Unix兼容系统中对应用程序进行权限控制的工具。

Red Hat PolicyKit 0.113及之前版本的pkexec命令中存在安全漏洞。攻击者可利用该漏洞以用户权限执行任意命令。</description><patchName>Red Hat PolicyKit pkexec命令执行漏洞的补丁</patchName><patchDescription>Red Hat PolicyKit是Red Hat公司的一个用于在Unix兼容系统中对应用程序进行权限控制的工具。

Red Hat PolicyKit 0.113及之前版本的pkexec命令中存在安全漏洞。攻击者可利用该漏洞以用户权限执行任意命令。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01367</number><cves><cve><cveNumber>CVE-2016-0800</cveNumber></cve></cves><title>OpenSSL跨协议攻击漏洞</title><serverity>高</serverity><products><product>OpenSSL OpenSSL 1.0.2</product><product>OpenSSL OpenSSL 1.0.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-02</openTime><discovererName>Nimrod Aviram、Sebastian Schinzel</discovererName><referenceLink>https://www.openssl.org/news/secadv/20160301.txt
https://www.kb.cert.org/vuls/id/583776</referenceLink><formalWay>厂商已发布安全公告修复该漏洞,请关注厂商主页下载更新:
https://www.openssl.org/</formalWay><description>OpenSSL是一个实现安全套接层和安全传输层协议的通用开源加密库,可支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 

OpenSSL 1.0.2及更早版本、1.0.1及更早版本存在跨协议攻击漏洞,当服务器使用了SSLv2协议和EXPORT加密套件,攻击者可利用漏洞对服务器的TLS会话信息进行破解;当客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用了不同的协议,例如SMTP,IMAP或者POP等协议)的服务器RSA密钥来对上述两者的通信数据进行破解。此漏洞被称为DROWN。</description><patchName>OpenSSL跨协议攻击漏洞的补丁</patchName><patchDescription>OpenSSL是一个实现安全套接层和安全传输层协议的通用开源加密库,可支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 

OpenSSL 1.0.2及更早版本、1.0.1及更早版本存在跨协议攻击漏洞,当服务器使用了SSLv2协议和EXPORT加密套件,攻击者可利用漏洞对服务器的TLS会话信息进行破解;当客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用了不同的协议,例如SMTP,IMAP或者POP等协议)的服务器RSA密钥来对上述两者的通信数据进行破解。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01416</number><cves><cve><cveNumber>CVE-2015-7428</cveNumber></cve></cves><title>IBM WebSphere Portal开放重定向漏洞(CNVD-2016-01416)</title><serverity>中</serverity><products><product>IBM WebSphere Portal 8.0.0(<8.0.0.1 CF20)</product><product>IBM WebSphere Portal 8.5.x(<8.5.0.0 CF09) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www.ibm.com/support/docview.wss?uid=swg21975358
http://www-01.ibm.com/support/docview.wss?uid=swg1PI51589</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21976358</formalWay><description>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal存在开放重定向漏洞。远程攻击者可借助特制的URL利用该漏洞将用户重定向到任意Web站点,实施钓鱼攻击。</description><patchName>IBM WebSphere Portal开放重定向漏洞(CNVD-2016-01416)的补丁</patchName><patchDescription>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal存在开放重定向漏洞。远程攻击者可借助特制的URL利用该漏洞将用户重定向到任意Web站点,实施钓鱼攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01418</number><cves><cve><cveNumber>CVE-2015-7455</cveNumber></cve></cves><title>IBM WebSphere Portal设计漏洞</title><serverity>中</serverity><products><product>IBM WebSphere Portal 7.0.x(<7.0.0.2 CF29)</product><product>IBM WebSphere Portal 8.0.0(<8.0.0.1 CF20)</product><product>IBM WebSphere Portal 8.5.x(<8.5.0.0 CF09) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www.ibm.com/support/docview.wss?uid=swg21975358
http://www-01.ibm.com/support/docview.wss?uid=swg1PI51234</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21976358</formalWay><description>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal中存在安全漏洞,该漏洞源于程序为内容项分配弱权限。远程攻击者可借助编辑界面利用该漏洞修改内容项。</description><patchName>IBM WebSphere Portal设计漏洞的补丁</patchName><patchDescription>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal中存在安全漏洞,该漏洞源于程序为内容项分配弱权限。远程攻击者可借助编辑界面利用该漏洞修改内容项。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01419</number><cves><cve><cveNumber>CVE-2015-7457</cveNumber></cve></cves><title>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01419)</title><serverity>中</serverity><products><product>IBM WebSphere Portal 8.0.0(<8.0.0.1 CF20)</product><product>IBM WebSphere Portal 8.5.x(<8.5.0.0 CF09) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www-01.ibm.com/support/docview.wss?uid=swg1PI56432
http://www.ibm.com/support/docview.wss?uid=swg21975358</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21976358</formalWay><description>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。</description><patchName>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01419)的补丁</patchName><patchDescription>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01420</number><cves><cve><cveNumber>CVE-2015-7491</cveNumber></cve></cves><title>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01420)</title><serverity>中</serverity><products><product>IBM WebSphere Portal 8.0.0(<8.0.0.1 CF20)</product><product>IBM WebSphere Portal 8.5.x(<8.5.0.0 CF09) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www.ibm.com/support/docview.wss?uid=swg21975358
http://www-01.ibm.com/support/docview.wss?uid=swg1PI56433</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21976358</formalWay><description>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。</description><patchName>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01420)的补丁</patchName><patchDescription>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01421</number><cves><cve><cveNumber>CVE-2015-8524</cveNumber></cve></cves><title>IBM Business Process Manager跨站脚本漏洞(CNVD-2016-01421)</title><serverity>中</serverity><products><product>IBM Business Process Manager 8.5.0.x-8.5.0.2</product><product>IBM Business Process Manager 8.5.5.x- 8.5.5.0</product><product>IBM Business Process Manager 8.5.6.x-8.5.6.2</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www-01.ibm.com/support/docview.wss?uid=swg21974472
http://www-01.ibm.com/support/docview.wss?uid=swg1JR54981</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21974472</formalWay><description>IBM Business Process Manager(BPM)是美国IBM公司的一套综合的业务流程管理平台。该平台为业务的流程建模、组装、监控和部署提供了一系列的相关工具。

IBM BPM存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。</description><patchName>IBM Business Process Manager跨站脚本漏洞(CNVD-2016-01421)的补丁</patchName><patchDescription>IBM Business Process Manager(BPM)是美国IBM公司的一套综合的业务流程管理平台。该平台为业务的流程建模、组装、监控和部署提供了一系列的相关工具。

IBM BPM存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01424</number><bids><bid><bidNumber>83488</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-0243</cveNumber></cve></cves><title>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01424)</title><serverity>中</serverity><products><product>IBM WebSphere Portal 7.0.x(<7.0.0.2 CF29)</product><product>IBM WebSphere Portal 8.0.0(<8.0.0.1 CF20)</product><product>IBM WebSphere Portal 8.5.x(<8.5.0.0 CF09) </product><product>IBM WebSphere Portal 6.1.0.x-6.1.0.6 CF27</product><product>IBM WebSphere Portal 6.1.5.x-6.1.5.3 CF27 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www-01.ibm.com/support/docview.wss?uid=swg1PI54088
http://www.ibm.com/support/docview.wss?uid=swg21975358</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21976358</formalWay><description>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal中存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。</description><patchName>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01424)的补丁</patchName><patchDescription>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal中存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01422</number><cves><cve><cveNumber>CVE-2016-0244</cveNumber></cve></cves><title>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01422)</title><serverity>中</serverity><products><product>IBM WebSphere Portal 7.0.x(<7.0.0.2 CF29)</product><product>IBM WebSphere Portal 8.0.0(<8.0.0.1 CF20)</product><product>IBM WebSphere Portal 8.5.x(<8.5.0.0 CF09) </product><product>IBM WebSphere Portal 6.1.0.x-6.1.0.6 CF27</product><product>IBM WebSphere Portal 6.1.5.x-6.1.5.3 CF27 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www.ibm.com/support/docview.wss?uid=swg21975358
http://www-01.ibm.com/support/docview.wss?uid=swg1PI55327</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21976358</formalWay><description>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal中存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。</description><patchName>IBM WebSphere Portal跨站脚本漏洞(CNVD-2016-01422)的补丁</patchName><patchDescription>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal中存在跨站脚本漏洞。远程攻击者可借助特制的URL利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01423</number><cves><cve><cveNumber>CVE-2016-0245</cveNumber></cve></cves><title>IBM WebSphere Portal XML解析器拒绝服务漏洞</title><serverity>中</serverity><products><product>IBM WebSphere Portal 8.0.0(<8.0.0.1 CF20)</product><product>IBM WebSphere Portal 8.5.x(<8.5.0.0 CF09) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>IBM</discovererName><referenceLink>http://www.ibm.com/support/docview.wss?uid=swg21975358
http://www-01.ibm.com/support/docview.wss?uid=swg1PI56682</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg21976358</formalWay><description>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal XML解析器中存在安全漏洞。远程攻击者可借助外部实体声明和实体引用利用该漏洞读取任意文件或造成拒绝服务。</description><patchName>IBM WebSphere Portal XML解析器拒绝服务漏洞的补丁</patchName><patchDescription>IBM WebSphere Portal是美国IBM公司的一套企业门户软件。该软件能够创建一个联接企业内部和外部的平台,可让员工、客户和供应商等通过该平台访问企业内部数据。

IBM WebSphere Portal XML解析器中存在安全漏洞。远程攻击者可借助外部实体声明和实体引用利用该漏洞读取任意文件或造成拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01425</number><cves><cve><cveNumber>CVE-2016-0761</cveNumber></cve></cves><title>Pivotal Software Cloud Foundry Elastic Runtime未授权操作漏洞</title><serverity>中</serverity><products><product>Pivotal Software Cloud Foundry Elastic Runtime 1.6.x(<1.6.17)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>Swisscom / SEC Consult</discovererName><referenceLink>https://docs.pivotal.io/pivotalcf/pcf-release-notes/p1-v1.6/runtime_rn_1_6.html
http://pivotal.io/security/cve-2016-0761
http://secunia.com/advisories/69272</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://pivotal.io/security/cve-2016-0761</formalWay><description>Pivotal Software Cloud Foundry是美国Pivotal Software公司的一套开源的平台即服务(PaaS)云计算平台,它提供容器调度、持续交付和自动化服务部署等功能。Elastic Runtime是Pivotal Cloud Foundry的一个运行环境。

Pivotal Software Cloud Foundry Elastic Runtime 1.6.17之前的1.6.x版本中存在安全漏洞,该漏洞源于在Docker镜像准备期间程序未能正确管理容器文件。攻击者可利用该漏洞操作主机上的任意文件和目录。</description><patchName>Pivotal Software Cloud Foundry Elastic Runtime未授权操作漏洞的补丁</patchName><patchDescription>Pivotal Software Cloud Foundry是美国Pivotal Software公司的一套开源的平台即服务(PaaS)云计算平台,它提供容器调度、持续交付和自动化服务部署等功能。Elastic Runtime是Pivotal Cloud Foundry的一个运行环境。

Pivotal Software Cloud Foundry Elastic Runtime 1.6.17之前的1.6.x版本中存在安全漏洞,该漏洞源于在Docker镜像准备期间程序未能正确管理容器文件。攻击者可利用该漏洞操作主机上的任意文件和目录。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01427</number><cves><cve><cveNumber>CVE-2016-2562</cveNumber></cve></cves><title>phpMyAdmin中间人攻击漏洞(CNVD-2016-01427)</title><serverity>中</serverity><products><product>phpMyAdmin phpMyAdmin 4.5.x(<4.5.5.1) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>phpMyAdmin </discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2562</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.phpmyadmin.net/security/PMASA-2016-13/</formalWay><description>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin 4.5.5.1之前的4.5.x版本中存在安全漏洞。攻击者可利用该漏洞实施中间人攻击。</description><patchName>phpMyAdmin中间人攻击漏洞(CNVD-2016-01427)的补丁</patchName><patchDescription>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin 4.5.5.1之前的4.5.x版本中存在安全漏洞。攻击者可利用该漏洞实施中间人攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01426</number><cves><cve><cveNumber>CVE-2016-2560</cveNumber></cve></cves><title>phpMyAdmin跨站脚本漏洞(CNVD-2016-01426)</title><serverity>低</serverity><products><product>phpMyAdmin phpMyAdmin 4.4.x(<4.4.15.5)</product><product>phpMyAdmin phpMyAdmin 4.5.x(<4.5.5.1) </product><product>phpMyAdmin phpMyAdmin 4.0.x(<4.0.10.15)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>phpMyAdmin </discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2560</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.phpmyadmin.net/security/PMASA-2016-11/</formalWay><description>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin中存在跨站脚本漏洞。攻击者可借助特制的SQL查询或参数利用该漏洞注入任意Web脚本或HTML。</description><patchName>phpMyAdmin跨站脚本漏洞(CNVD-2016-01426)的补丁</patchName><patchDescription>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin中存在跨站脚本漏洞。攻击者可借助特制的SQL查询或参数利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01428</number><cves><cve><cveNumber>CVE-2016-2559</cveNumber></cve></cves><title>phpMyAdmin SQL解析器跨站脚本漏洞</title><serverity>中</serverity><products><product>phpMyAdmin phpMyAdmin 4.5.x(<4.5.5.1) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>phpMyAdmin </discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2559</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.phpmyadmin.net/security/PMASA-2016-10/</formalWay><description>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin 4.5.5.1之前的4.5.x版本的SQL解析器中存在跨站脚本漏洞。攻击者可借助特制的SQL查询利用该漏洞注入任意Web脚本或HTML。</description><patchName>phpMyAdmin SQL解析器跨站脚本漏洞的补丁</patchName><patchDescription>phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。

phpMyAdmin 4.5.5.1之前的4.5.x版本的SQL解析器中存在跨站脚本漏洞。攻击者可借助特制的SQL查询利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01435</number><bids><bid><bidNumber>83743</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-0703</cveNumber></cve></cves><title>OpenSSL SSLv2分治型会话密钥恢复漏洞</title><serverity>中</serverity><products><product>OpenSSL OpenSSL 1.0.2</product><product>OpenSSL OpenSSL 1.0.1</product><product>OpenSSL OpenSSL <= 0.9.8ze</product><product>OpenSSL OpenSSL <= 1.0.0q</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-04</openTime><discovererName>J. Alex Halderman,David Adrian</discovererName><referenceLink>https://www.openssl.org/news/secadv/20160301.txt
</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
https://www.openssl.org/news/secadv/20160301.txt
</formalWay><description>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze及更早版本中的s2_srvr.c未确保non-export密钥的clear-key-length为0存在安全漏洞,允许攻击者利用该漏洞导致分治法密钥恢复攻击。</description><patchName>OpenSSL SSLv2分治型会话密钥恢复漏洞的补丁</patchName><patchDescription>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze及更早版本中的s2_srvr.c未确保non-export密钥的clear-key-length为0存在安全漏洞,允许攻击者利用该漏洞导致分治法密钥恢复攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。
</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01436</number><cves><cve><cveNumber>CVE-2016-0704</cveNumber></cve></cves><title>OpenSSL Bleichenbacher oracle漏洞</title><serverity>中</serverity><products><product>OpenSSL OpenSSL 1.0.2</product><product>OpenSSL OpenSSL 1.0.1</product><product>OpenSSL OpenSSL <= 0.9.8ze</product><product>OpenSSL OpenSSL <= 1.0.0q</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-04</openTime><discovererName>David Adrian and J. Alex Halderman of the University of Michigan</discovererName><referenceLink>https://www.openssl.org/news/secadv/20160301.txt
</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
https://www.openssl.org/news/secadv/20160301.txt
</formalWay><description>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze及更早版本中的export密钥组合应用Bleichenbacher保护时s2_srvr.c覆盖了master-key的错误字节存在安全漏洞,允许攻击者利用该漏洞导致Bleichenbacher oracle攻击。</description><patchName>OpenSSL Bleichenbacher oracle漏洞的补丁</patchName><patchDescription>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze及更早版本中的export密钥组合应用Bleichenbacher保护时s2_srvr.c覆盖了master-key的错误字节存在安全漏洞,允许攻击者利用该漏洞导致Bleichenbacher oracle攻击。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01437</number><bids><bid><bidNumber>83754</bidNumber></bid></bids><cves><cve><cveNumber>CVE-2016-0705</cveNumber></cve></cves><title>OpenSSL DSA代码双重释放漏洞</title><serverity>中</serverity><products><product>OpenSSL OpenSSL 1.0.2</product><product>OpenSSL OpenSSL 1.0.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-04</openTime><discovererName>Nimrod Aviram and Sebastian Schinzel</discovererName><referenceLink>https://www.openssl.org/news/secadv/20160301.txt
</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
https://www.openssl.org/news/secadv/20160301.txt
</formalWay><description>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞,允许攻击者利用该漏洞使受影响应用拒绝服务或内存破坏。</description><patchName>OpenSSL DSA代码双重释放漏洞的补丁</patchName><patchDescription>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞,允许攻击者利用该漏洞使受影响应用拒绝服务或内存破坏。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01438</number><cves><cve><cveNumber>CVE-2016-0798</cveNumber></cve></cves><title>OpenSSL SRP_VBASE_get_by_user内存泄露漏洞</title><serverity>中</serverity><products><product>OpenSSL OpenSSL 1.0.2</product><product>OpenSSL OpenSSL 1.0.1</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-04</openTime><discovererName>Adam Langley</discovererName><referenceLink>https://www.openssl.org/news/secadv/20160301.txt</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
https://www.openssl.org/news/secadv/20160301.txt</formalWay><description>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2及之前版本、1.0.1及之前版本的SRP用户数据库查询方法SRP_VBASE_get_by_user存在内存泄露漏洞,允许攻击者利用该漏洞导致内存泄露。</description><patchName>OpenSSL SRP_VBASE_get_by_user内存泄露漏洞的补丁</patchName><patchDescription>OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

OpenSSL 1.0.2及之前版本、1.0.1及之前版本的SRP用户数据库查询方法SRP_VBASE_get_by_user存在内存泄露漏洞,允许攻击者利用该漏洞导致内存泄露。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01434</number><bids><bid><bidNumber>82295</bidNumber></bid></bids><title>Zimbra DKIM安全绕过漏洞</title><serverity>中</serverity><products><product>Zimbra Zimbra <=8.6.0.GA</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>Tim Schughart </discovererName><referenceLink>http://www.securityfocus.com/bid/82295</referenceLink><formalWay>目前没有详细的解决方案提供:
https://www.zimbra.com/</formalWay><description>Zimbra是美国Zimbra公司的一款开源的协同办公套件。

Zimbra 8.6.0.GA及之前版本中存在安全绕过漏洞,攻击者可利用该漏洞执行未授权操作。</description></vulnerability><vulnerability><number>CNVD-2016-01433</number><bids><bid><bidNumber>81065</bidNumber></bid></bids><title>ProjectSend存在多个漏洞</title><serverity>高</serverity><products><product>ProjectSend ProjectSend </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>[email protected] </discovererName><referenceLink>http://www.securityfocus.com/bid/81065</referenceLink><formalWay>目前没有详细的解决方案提供:
http://www.projectsend.org/</formalWay><description>ProjectSend(前称cFTP)是一套基于PHP和MySQL的自托管应用程序。

ProjectSend中存在身份验证绕过漏洞、SQL注入漏洞、任意文件下载漏洞,攻击者可利用这些漏洞在受影响应用程序中执行任意代码,控制应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞,下载任意文件,绕过身份验证机制,获取受影响应用程序的未授权的访问权限。</description></vulnerability><vulnerability><number>CNVD-2016-01432</number><bids><bid><bidNumber>82245</bidNumber></bid></bids><title>Netgear GS105Ev2存在多个漏洞</title><serverity>高</serverity><products><product>NETGEAR GS105Ev2 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>Benedikt Westermann. </discovererName><referenceLink>http://www.securityfocus.com/bid/82245</referenceLink><formalWay>目前没有详细的解决方案提供:
http://www.netgear.com/</formalWay><description>Netgear GS105Ev2是美国网件(NetGear)公司的一款网管交换机产品。

Netgear GS105Ev2中存在身份验证绕过漏洞、跨站脚本漏洞、跨站请求伪造漏洞、信息泄露漏洞、可预测会话cookie漏洞,攻击者可利用这些漏洞在受影响站点中执行任意脚本代码,窃取基于cookie的身份验证,绕过身份验证机制,执行未授权操作,获取敏感信息和受影响应用程序的访问权限,预测会话cookie值。</description></vulnerability><vulnerability><number>CNVD-2016-01431</number><bids><bid><bidNumber>81997</bidNumber></bid></bids><title>Magento CMS存在多个漏洞</title><serverity>高</serverity><products><product>Magento Community Edition 1.9.2.3</product><product>Magento Enterprise Edition 2.0.1</product><product>Magento Community Edition 2.0.1 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-02</submitTime><openTime>2016-03-03</openTime><discovererName>Peter O'Callaghan, Erik Wohllebe, Benjamin Lessani and Shabad Shashidar Reddy </discovererName><referenceLink>http://www.securityfocus.com/bid/81997</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://magento.com/</formalWay><description>Magento是美国Magento公司的一套专业开源的PHP电子商务系统。Magento Community Edition(CE)是一个社区版。Magento Enterprise Edition(EE)是一个企业版。

Magento CE和EE中存在HTML注入漏洞、暴力破解漏洞、跨站脚本漏洞、安全绕过漏洞、拒绝服务漏洞、CAPTCHA绕过漏洞、跨站请求伪造漏洞,攻击者可利用这些漏洞窃取基于cookie的身份验证,在Web服务器进程中执行任意脚本,绕过安全限制,执行未授权操作,也可能造成拒绝服务。</description><patchName>Magento CMS存在多个漏洞的补丁</patchName><patchDescription>Magento是美国Magento公司的一套专业开源的PHP电子商务系统。Magento Community Edition(CE)是一个社区版。Magento Enterprise Edition(EE)是一个企业版。

Magento CE和EE中存在HTML注入漏洞、暴力破解漏洞、跨站脚本漏洞、安全绕过漏洞、拒绝服务漏洞、CAPTCHA绕过漏洞、跨站请求伪造漏洞,攻击者可利用这些漏洞窃取基于cookie的身份验证,在Web服务器进程中执行任意脚本,绕过安全限制,执行未授权操作,也可能造成拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01439</number><cves><cve><cveNumber>CVE-2016-2381</cveNumber></cve></cves><title>Perl安全绕过漏洞</title><serverity>中</serverity><products><product>Perl Perl </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>unknown</discovererName><referenceLink>http://www.debian.org/security/2016/dsa-3501</referenceLink><formalWay>用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.debian.org/security/2016/dsa-3501</formalWay><description>Perl是美国程序员拉里-沃尔(Larry Wall)所研发的一种免费且功能强大的跨平台编程语言。

由于程序未能正确处理环境变量,Perl中存在安全漏洞。攻击者可利用该漏洞绕过安全机制。</description><patchName>Perl安全绕过漏洞的补丁</patchName><patchDescription>Perl是美国程序员拉里-沃尔(Larry Wall)所研发的一种免费且功能强大的跨平台编程语言。

由于程序未能正确处理环境变量,Perl中存在安全漏洞。攻击者可利用该漏洞绕过安全机制。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01451</number><cves><cve><cveNumber>CVE-2016-2279</cveNumber></cve></cves><title>Rockwell Automation Allen-Bradley CompactLogix跨站脚本漏洞</title><serverity>中</serverity><products><product>Rockwell Automation Allen-Bradley CompactLogix 1769-L*(<28.011+)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>unknown</discovererName><referenceLink>https://ics-cert.us-cert.gov/advisories/ICSA-16-061-02</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://www.rockwellautomation.com/</formalWay><description>Rockwell Automation Allen-Bradley CompactLogix是美国罗克韦尔(Rockwell Automation)公司的一套基于Web的SCADA系统。1769-L16ER-BB1B等都是使用在其中的控制器。

Rockwell Automation Allen-Bradley CompactLogix的Web服务器中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。</description><patchName>Rockwell Automation Allen-Bradley CompactLogix跨站脚本漏洞的补丁</patchName><patchDescription>Rockwell Automation Allen-Bradley CompactLogix是美国罗克韦尔(Rockwell Automation)公司的一套基于Web的SCADA系统。1769-L16ER-BB1B等都是使用在其中的控制器。

Rockwell Automation Allen-Bradley CompactLogix的Web服务器中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01450</number><cves><cve><cveNumber>CVE-2016-2278</cveNumber></cve></cves><title>Schneider Electric Building Operation Application Server操作系统命令注入漏洞</title><serverity>中</serverity><products><product>Schneider Electric StruxureWare Building Operation Application Server <=1.7</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>unknown</discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2278</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://download.schneider-electric.com/files?p_Reference=SEVD-2016-025-01&p_EnDocType=Technical%20leaflet&p_File_Id=1768002595&p_File_Name=SEVD-2016-025-01+SBO+AS.pdf</formalWay><description>Schneider Electric StruxureWare Building Operation Application Server是法国施耐德电气(Schneider Electric)公司的一套用于中小型建筑楼宇的自动化系统。

Schneider Electric StruxureWare Building Operation Application Server 1.7及之前版本中存在操作系统命令注入漏洞。远程攻击者可利用该漏洞绕过访问控制,执行任意OS命令。</description><patchName>Schneider Electric Building Operation Application Server操作系统命令注入漏洞的补丁</patchName><patchDescription>Schneider Electric StruxureWare Building Operation Application Server是法国施耐德电气(Schneider Electric)公司的一套用于中小型建筑楼宇的自动化系统。

Schneider Electric StruxureWare Building Operation Application Server 1.7及之前版本中存在操作系统命令注入漏洞。远程攻击者可利用该漏洞绕过访问控制,执行任意OS命令。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01448</number><cves><cve><cveNumber>CVE-2016-2531</cveNumber></cve></cves><title>Wireshark拒绝服务漏洞(CNVD-2016-01448)</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product><product>Wireshark Wireshark 1.12.x(<1.12.10) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=11829</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=11829</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark 1.12.10之前的1.12.x版本及2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者利用漏洞导致拒绝服务。</description><patchName>Wireshark拒绝服务漏洞(CNVD-2016-01448)的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark 1.12.10之前的1.12.x版本及2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者利用漏洞导致拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01447</number><cves><cve><cveNumber>CVE-2016-2529</cveNumber></cve></cves><title>Wireshark拒绝服务漏洞(CNVD-2016-01447)</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>http://www.wireshark.org/security/wnpa-sec-2016-09.html
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2529</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www.wireshark.org/security/wnpa-sec-2016-09.html</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的文件导致拒绝服务。</description><patchName>Wireshark拒绝服务漏洞(CNVD-2016-01447)的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的文件导致拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01449</number><cves><cve><cveNumber>CVE-2016-2532</cveNumber></cve></cves><title>Wireshark拒绝服务漏洞(CNVD-2016-01449)</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product><product>Wireshark Wireshark 1.12.x(<1.12.10) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2532</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=4a2cd6c79ecbf2cb21f985f01ce1c1e3030285ec</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark 1.12.10之前的1.12.x版本及2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的数据包导致拒绝服务。</description><patchName>Wireshark拒绝服务漏洞(CNVD-2016-01449)的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark 1.12.10之前的1.12.x版本及2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的数据包导致拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01446</number><cves><cve><cveNumber>CVE-2016-2528</cveNumber></cve></cves><title>Wireshark拒绝服务漏洞(CNVD-2016-01446)</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>http://www.wireshark.org/security/wnpa-sec-2016-08.html
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2528</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www.wireshark.org/security/wnpa-sec-2016-08.html</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的数据包导致拒绝服务。</description><patchName>Wireshark拒绝服务漏洞(CNVD-2016-01446)的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的数据包导致拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01445</number><cves><cve><cveNumber>CVE-2016-2527</cveNumber></cve></cves><title>Wireshark拒绝服务漏洞(CNVD-2016-01445)</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Mateusz Jurczyk</discovererName><referenceLink>https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=11982
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2527</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=11982</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的文件导致拒绝服务。</description><patchName>Wireshark拒绝服务漏洞(CNVD-2016-01445)的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的文件导致拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01444</number><cves><cve><cveNumber>CVE-2016-2525</cveNumber></cve></cves><title>Wireshark拒绝服务漏洞(CNVD-2016-01444)</title><serverity>中</serverity><products><product>Wireshark Wireshark 2.0.x(<2.0.2) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Gerald Combs </discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2525</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://code.wireshark.org/review/gitweb?p=wireshark.git;a=commit;h=6a47ac7624993b99966e1d813245ffb419a2d201</formalWay><description>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的数据包导致拒绝服务。</description><patchName>Wireshark拒绝服务漏洞(CNVD-2016-01444)的补丁</patchName><patchDescription>Wireshark是最流行的网络协议解析器。

Wireshark 2.0.2之前的2.0.x版本存在拒绝服务漏洞,允许远程攻击者通过精心编制的数据包导致拒绝服务。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01443</number><cves><cve><cveNumber>CVE-2016-2572</cveNumber></cve></cves><title>Squid拒绝服务漏洞(CNVD-2016-01443)</title><serverity>中</serverity><products><product>Squid Squid 4.x(<4.0.7)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Squid</discovererName><referenceLink>http://www.squid-cache.org/Versions/v4/changesets/squid-4-14548.patch</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www.squid-cache.org/Versions/v4/changesets/squid-4-14548.patch</formalWay><description>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 4.0.7之前4.x版本的http.cc文件中存在安全漏洞,该漏洞源于响应解析失败时程序仍使用HTTP响应状态码。远程攻击者可借助畸形的响应信息利用该漏洞造成拒绝服务(断言失败和守护进程退出)。</description><patchName>Squid拒绝服务漏洞(CNVD-2016-01443)的补丁</patchName><patchDescription>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 4.0.7之前4.x版本的http.cc文件中存在安全漏洞,该漏洞源于响应解析失败时程序仍使用HTTP响应状态码。远程攻击者可借助畸形的响应信息利用该漏洞造成拒绝服务(断言失败和守护进程退出)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01442</number><cves><cve><cveNumber>CVE-2016-2571</cveNumber></cve></cves><title>Squid拒绝服务漏洞(CNVD-2016-01442)</title><serverity>中</serverity><products><product>Squid Squid 3.x(<3.5.15)</product><product>Squid Squid 4.x(<4.0.7)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Squid</discovererName><referenceLink>http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13990.patch</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13990.patch</formalWay><description>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 3.5.15之前3.x版本和4.0.7之前4.x版本的http.cc文件中存在安全漏洞,该漏洞源于响应解析失败时程序仍继续存储数据。远程攻击者可借助畸形的响应信息利用该漏洞造成拒绝服务(断言失败和守护进程退出)。</description><patchName>Squid拒绝服务漏洞(CNVD-2016-01442)的补丁</patchName><patchDescription>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 3.5.15之前3.x版本和4.0.7之前4.x版本的http.cc文件中存在安全漏洞,该漏洞源于响应解析失败时程序仍继续存储数据。远程攻击者可借助畸形的响应信息利用该漏洞造成拒绝服务(断言失败和守护进程退出)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01441</number><cves><cve><cveNumber>CVE-2016-2570</cveNumber></cve></cves><title>Squid拒绝服务漏洞(CNVD-2016-01441)</title><serverity>中</serverity><products><product>Squid Squid 3.x(<3.5.15)</product><product>Squid Squid 4.x(<4.0.7)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Squid</discovererName><referenceLink>http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13993.patch</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13993.patch</formalWay><description>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 3.5.15之前3.x版本和4.0.7之前4.x版本的Edge Side Includes(ESI)解析器中存在安全漏洞,该漏洞源于程序在解析XML期间未能检查缓冲区限制。远程攻击者可借助特制的XML文档利用该漏洞造成拒绝服务(断言失败和守护进程退出)。</description><patchName>Squid拒绝服务漏洞(CNVD-2016-01441)的补丁</patchName><patchDescription>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 3.5.15之前3.x版本和4.0.7之前4.x版本的Edge Side Includes(ESI)解析器中存在安全漏洞,该漏洞源于程序在解析XML期间未能检查缓冲区限制。远程攻击者可借助特制的XML文档利用该漏洞造成拒绝服务(断言失败和守护进程退出)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01440</number><cves><cve><cveNumber>CVE-2016-2569</cveNumber></cve></cves><title>Squid拒绝服务漏洞(CNVD-2016-01440)</title><serverity>中</serverity><products><product>Squid Squid 3.x(<3.5.15)</product><product>Squid Squid 4.x(<4.0.7)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Squid</discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2569</referenceLink><formalWay>用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-13991.patch</formalWay><description>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 3.5.15之前3.x版本和4.0.7之前4.x版本中存在安全漏洞,该漏洞源于程序未能正确将数据附加到String对象。远程攻击者可借助较长的字符串利用该漏洞造成拒绝服务(断言失败和守护进程退出)。</description><patchName>Squid拒绝服务漏洞(CNVD-2016-01440)的补丁</patchName><patchDescription>Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。

Squid 3.5.15之前3.x版本和4.0.7之前4.x版本中存在安全漏洞,该漏洞源于程序未能正确将数据附加到String对象。远程攻击者可借助较长的字符串利用该漏洞造成拒绝服务(断言失败和守护进程退出)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01456</number><cves><cve><cveNumber>CVE-2016-0702</cveNumber></cve></cves><title>OpenSSL模幂运算旁路攻击漏洞</title><serverity>中</serverity><products><product>OpenSSL OpenSSL 1.0.1(<1.0.1s)</product><product>OpenSSL OpenSSL 1.0.2(<1.0.2g) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>OpenSSL</discovererName><referenceLink>https://www.openssl.org/news/secadv/20160301.txt</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://www.openssl.org/news/secadv/20160301.txt</formalWay><description>OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。

OpenSSL 1.0.2及之前版本和1.0.1及之前版本的Intel Sandy-Bridge微体系结构中存在安全漏洞。攻击者可利用该漏洞实施旁路攻击,恢复RSA密钥。</description><patchName>OpenSSL模幂运算旁路攻击漏洞的补丁</patchName><patchDescription>OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。

OpenSSL 1.0.2及之前版本和1.0.1及之前版本的Intel Sandy-Bridge微体系结构中存在安全漏洞。攻击者可利用该漏洞实施旁路攻击,恢复RSA密钥。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01455</number><cves><cve><cveNumber>CVE-2015-6398</cveNumber></cve></cves><title>Cisco Nexus 9000 Application Centric Infrastructure Mode拒绝服务漏洞</title><serverity>高</serverity><products><product>Cisco Nexus 9000 Series ACI Mode Switche <11.0(1c) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Cisco</discovererName><referenceLink>http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160203-n9knci
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6398</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160203-n9knci</formalWay><description>Cisco Nexus 9000 Application Centric Infrastructure(ACI)Mode是美国思科(Cisco)公司的一款应用于以应用为中心的基础设施(ACI)的9000系列交换机。

使用11.0(1c)之前版本软件的Cisco Nexus 9000 Series ACI Mode Switches中存在安全漏洞,远程攻击者可借助带有Cisco Nexus 9000 Series ACI Mode Switches选项的IPv4 ICMP数据包,利用该漏洞造成拒绝服务(设备重载)。</description><patchName>Cisco Nexus 9000 Application Centric Infrastructure Mode拒绝服务漏洞的补丁</patchName><patchDescription>Cisco Nexus 9000 Application Centric Infrastructure(ACI)Mode是美国思科(Cisco)公司的一款应用于以应用为中心的基础设施(ACI)的9000系列交换机。

使用11.0(1c)之前版本软件的Cisco Nexus 9000 Series ACI Mode Switches中存在安全漏洞,远程攻击者可借助带有Cisco Nexus 9000 Series ACI Mode Switches选项的IPv4 ICMP数据包,利用该漏洞造成拒绝服务(设备重载)。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01454</number><cves><cve><cveNumber>CVE-2016-1301</cveNumber></cve></cves><title>Cisco ASA-CX Content-Aware Security software和Cisco Prime Security Manager任意密码修改漏洞</title><serverity>高</serverity><products><product>Cisco ASA-CX Content-Aware Security software <9.3.1.1(112)</product><product>Cisco Prime Security Manager (PRSM) software <9.3.1.1(112)</product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Cisco</discovererName><referenceLink>http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160203-prsm
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1301</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160203-prsm</formalWay><description>Cisco ASA-CX Content-Aware Security software和Cisco Prime Security Manager(PRSM)都是美国思科(Cisco)公司的产品。Cisco ASA CX Context-Aware Security Software是一个扩展ASA平台的附加服务模块。PRSM是一套用于ASA-CX的多设备管理平台。

Cisco ASA-CX Content-Aware Security software 9.3.1.1(112)之前版本和Cisco PRSM 9.3.1.1(112)之前版本的RBAC实现过程中存在安全漏洞,远程攻击者可通过发送特制的HTTP请求,利用该漏洞更改任意密码。</description><patchName>Cisco ASA-CX Content-Aware Security software和Cisco Prime Security Manager任意密码修改漏洞的补丁</patchName><patchDescription>Cisco ASA-CX Content-Aware Security software和Cisco Prime Security Manager(PRSM)都是美国思科(Cisco)公司的产品。Cisco ASA CX Context-Aware Security Software是一个扩展ASA平台的附加服务模块。PRSM是一套用于ASA-CX的多设备管理平台。

Cisco ASA-CX Content-Aware Security software 9.3.1.1(112)之前版本和Cisco PRSM 9.3.1.1(112)之前版本的RBAC实现过程中存在安全漏洞,远程攻击者可通过发送特制的HTTP请求,利用该漏洞更改任意密码。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01453</number><cves><cve><cveNumber>CVE-2016-1302</cveNumber></cve></cves><title>Cisco Application Policy Infrastructure Controller和Nexus 9000 ACI Mode Switches安全绕过漏洞</title><serverity>高</serverity><products><product>Cisco Application Policy Infrastructure Controller (APIC) <1.0(3h)</product><product>Cisco Application Policy Infrastructure Controller (APIC) 1.1(<1.1(1j))</product><product>Cisco Nexus 9000 ACI Mode switches with software <11.0(3h)</product><product>Cisco Nexus 9000 ACI Mode switches with software 11.1(<11.1(1j)) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Cisco</discovererName><referenceLink>http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160203-apic
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1302</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160203-apic</formalWay><description>Cisco Application Policy Infrastructure Controllers和Cisco Nexus 9000 Series ACI Mode Switches都是美国思科(Cisco)公司的产品。前者是一款自动化管理以应用为中心的基础设施(ACI)的控制器。后者是一款应用于以应用为中心的基础设施(ACI)的9000系列交换机。

Cisco APIC和Nexus 9000 ACI Mode Switches中存在安全漏洞,远程攻击者可通过发送特制的REST请求,利用该漏洞绕过既定的RBAC限制.</description><patchName>Cisco Application Policy Infrastructure Controller和Nexus 9000 ACI Mode Switches安全绕过漏洞的补丁</patchName><patchDescription>Cisco Application Policy Infrastructure Controllers和Cisco Nexus 9000 Series ACI Mode Switches都是美国思科(Cisco)公司的产品。前者是一款自动化管理以应用为中心的基础设施(ACI)的控制器。后者是一款应用于以应用为中心的基础设施(ACI)的9000系列交换机。

Cisco APIC和Nexus 9000 ACI Mode Switches中存在安全漏洞,远程攻击者可通过发送特制的REST请求,利用该漏洞绕过既定的RBAC限制。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-01452</number><cves><cve><cveNumber>CVE-2016-1307</cveNumber></cve></cves><title>Cisco Finesse Desktop和Unified Contact Center Express权限获取漏洞</title><serverity>中</serverity><products><product>Cisco Unified Contact Center Express 10.6(1)</product><product>Cisco Finesse Desktop 10.5(1)</product><product>Cisco Finesse Desktop 11.0(1) </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2016-03-03</submitTime><openTime>2016-03-04</openTime><discovererName>Cisco</discovererName><referenceLink>https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1307</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160202-fducce</formalWay><description>Cisco Finesse Desktop和Unified Contact Center Express(Unified CCX)都是美国思科(Cisco)公司的产品。Cisco Finesse Desktop是一套用于客户协作解决方案中的下一代代理和桌面管理的软件;Unified CCX是一款统一通信解决方案中的客户关系管理组件。

Cisco Finesse Desktop和Unified CCX中的Openfire服务器中存在安全漏洞,远程攻击者可借助Openfire会话,利用该漏洞获取访问权限。</description><patchName>Cisco Finesse Desktop和Unified Contact Center Express权限获取漏洞的补丁</patchName><patchDescription>Cisco Finesse Desktop和Unified Contact Center Express(Unified CCX)都是美国思科(Cisco)公司的产品。Cisco Finesse Desktop是一套用于客户协作解决方案中的下一代代理和桌面管理的软件;Unified CCX是一款统一通信解决方案中的客户关系管理组件。

Cisco Finesse Desktop和Unified CCX中的Openfire服务器中存在安全漏洞,远程攻击者可借助Openfire会话,利用该漏洞获取访问权限。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-06680</number><title>浙江网新恩普软件有限公司人力资源和社会保障系统存在通用型SQL注入漏洞</title><serverity>高</serverity><products><product>浙江网新恩普软件有限公司 人力资源和社会保障系统 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2015-08-29</submitTime><openTime>2016-02-29</openTime><discovererName>unknown</discovererName><referenceLink>http://www.wooyun.org/bugs/wooyun-2015-0137704</referenceLink><formalWay>厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:
http://www.epsoft.com.cn/</formalWay><description>浙江网新恩普软件有限公司是一家致力于人力资源社会保障和电子政务行业信息化建设和服务的企业。人力资源和社会保障系统是该公司的一个应用系统。

浙江网新恩普软件有限公司人力资源和社会保障系统存在通用型SQL注入漏洞。漏洞参数为wqCode,攻击者可利用该参数获取数据库敏感信息。</description></vulnerability><vulnerability><number>CNVD-2016-06674</number><title>中国政企网CMS系统存在通用型SQL注入漏洞</title><serverity>高</serverity><products><product>中国政企网 CMS系统 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2015-09-02</submitTime><openTime>2016-03-02</openTime><discovererName>unknown</discovererName><referenceLink>http://loudong.360.cn/vul/info/id/96807;
https://butian.360.cn/vul/info/qid/QTVA-2015-290426</referenceLink><formalWay>目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cnge.net.cn/</formalWay><description>中国政企网是一个为企事业单位提供互联网络营销顾问的网络平台。

中国政企网CMS系统存在通用型SQL注入漏洞。漏洞参数为key,攻击者可利用漏洞获取数据库敏感信息。</description><patchName>中国政企网CMS系统存在通用型SQL注入漏洞的补丁</patchName><patchDescription>中国政企网是一个为企事业单位提供互联网络营销顾问的网络平台。

中国政企网CMS系统存在通用型SQL注入漏洞。漏洞参数为key,攻击者可利用漏洞获取数据库敏感信息。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。</patchDescription></vulnerability><vulnerability><number>CNVD-2016-06742</number><title>E创网络政府网站管理系统部分后台存在弱口令漏洞</title><serverity>高</serverity><products><product>E创网络 政府网站管理系统 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2015-09-02</submitTime><openTime>2016-03-02</openTime><discovererName>unknown</discovererName><referenceLink>http://www.wooyun.org/bugs/wooyun-2015-0138293</referenceLink><formalWay>厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: 
http://www.zon.cn</formalWay><description>E创网络政府网站管理系统是一个为政府上网系统、政府网站系统定制服务的系统。

网域高科广告管理系统部分后台存在弱口令漏洞。攻击者可利用漏洞登录系统后台,获得管理员权限,造成信息泄露。</description></vulnerability><vulnerability><number>CNVD-2016-06741</number><title>金和协同管理平台存在多处SQL注入漏洞</title><serverity>高</serverity><products><product>北京金和软件股份有限公司 金和协同管理平台 </product></products><isEvent>通用软硬件漏洞</isEvent><submitTime>2015-09-02</submitTime><openTime>2016-03-02</openTime><discovererName>unknown</discovererName><referenceLink>http://loudong.360.cn/vul/info/id/96457;
https://butian.360.cn/vul/info/qid/QTVA-2015-289376</referenceLink><formalWay>厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: 
http://www.jinher.com/</formalWay><description>金和OA协同管理平台采用asp.net和sqlserver技术开发,使用用户众多。 

金和协同管理平台存在多处SQL注入漏洞。允许攻击者利用常用SQL注入工具,获取数据库敏感信息。</description></vulnerability></vulnerabilitys>