DragonSoft->Support->安全通報

Advisories & Alerts

1. Apple QuickTime RTSP URL 遠端緩衝區溢位弱點
弱點編號: 3544
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Apple QuickTime 在 v7.6 之前的版本存在弱點.
遠端攻擊者誘使受害者開啟一個惡意的 RTSP URL, 攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3544
CVE ID: CVE-2009-0001

2. Apple QuickTime QTVR 電影檔遠端緩衝區溢位弱點
弱點編號: 3543
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Apple QuickTime 在 v7.6 之前的版本存在弱點.
遠端攻擊者可以建立一個包含惡意 THKD 的 QTVR 電影檔並透過 email 或放在網站上讓受害者開啟,
攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3543
CVE ID: CVE-2009-0002

3. Apple QuickTime AVI 電影檔遠端緩衝區溢位弱點
弱點編號: 3542
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Apple QuickTime 在 v7.6 之前的版本存在弱點.
遠端攻擊者可以建立一個在 _WAVEFORMATEX 結構裡包含無效 nBlockAlign 值的 AVI 電影檔並透過 email 或放在網站上讓受害者開啟,
攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3542
CVE ID: CVE-2009-0003

4. Apple QuickTime MPEG-2 電影檔遠端緩衝區溢位弱點
弱點編號: 3541
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Apple QuickTime 在 v7.6 之前的版本存在弱點.
遠端攻擊者可以建立一個包含惡意的 mp3 的 MPEG-2 編碼電影檔並透過 email 或放在網站上讓受害者開啟,
攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3541
CVE ID: CVE-2009-0004

5. Apple QuickTime H.263 編碼電影檔記憶體毀損弱點
弱點編號: 3540
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Apple QuickTime 在 v7.6 之前的版本存在弱點.
遠端攻擊者可以建立一個包含惡意的 H.263 編碼電影檔並透過 email 或放在網站上讓受害者開啟,
攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3540
CVE ID: CVE-2009-0005

6. Apple QuickTime Cinepak 編碼電影檔遠端緩衝區溢位弱點
弱點編號: 3539
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Apple QuickTime 在 v7.6 之前的版本存在弱點.
遠端攻擊者可以建立一個包含惡意 MDAT 資料的 Cinepak 編碼電影檔並透過 email 或放在網站上讓受害者開啟,
攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3539
CVE ID: CVE-2009-0006

7. Apple QuickTime jpeg 電影檔遠端緩衝區溢位弱點
弱點編號: 3538
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Apple QuickTime 在 v7.6 之前的版本存在弱點. 遠端攻擊者可以建立一個包含無效的 JPEG 寬度資料的惡意 movie 檔案並透過 email 或放在網站上讓受害者開啟, 攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3538
CVE ID: CVE-2009-0007

8. Apple QuickTime MPEG-2 Playback 元件遠端記憶體毀損弱點
弱點編號: 3537
發佈日期: 2009/03/17
風險等級: 高
CVSS 弱點評分: 7.6
弱點描述:
Apple QuickTime MPEG-2 Playback 元件在 v7.60.92.0 的 Windows 版本存在弱點.
遠端攻擊者可以建立一個惡意的 movie 檔案並透過 email 或放在網站上讓受害者開啟,
攻擊成功可能造成阻斷服務(當掉程式) 或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3537
CVE ID: CVE-2009-0008

9. Squid Proxy Host Header 不正確的傳遞行為弱點
弱點編號: 3563
發佈日期: 2009/03/18
風險等級: 中
CVSS 弱點評分: 7.1
弱點描述:
Squid 2.7-2.7.STABLE6, 3.0-3.0.STABLE13存在安全忽略弱點,
遠端的攻擊者可以利用這一個缺陷對伺服器送出畸型的 HTTP 請求而略過連接管控.
弱點類型: Proxy
影響平台: UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3563
CVE ID: CVE-2009-0801

10. Serv-U FTP Server MKD 命令目錄跨越弱點
弱點編號: 3551
發佈日期: 2009/03/17
風險等級: 中
CVSS 弱點評分: 9
弱點描述:
Serv-U FTP v7.2.0.1 版本存在目錄跨越弱點弱點.
安全漏洞發生的原因是在處理 MKD 命令時未過濾不恰當的資料. 遠端攻擊者可以送出包含 ..\ 的 MKD 命令來複寫或建立目錄.
弱點類型: FTP Servers
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3551

11. Serv-U FTP Server rnto 命令目錄跨越弱點
弱點編號: 3545
發佈日期: 2009/03/17
風險等級: 中
CVSS 弱點評分: 9
弱點描述:
Serv-U FTP v7.3 及 v7.2.0.1 及之前的版本存在目錄跨越弱點弱點.
安全漏洞發生的原因是在處理 RNTO 命令時未過濾不恰當的資料. 遠端攻擊者可以送出包含 ..\ 的 STOU 命令來複寫或建立檔案.
弱點類型: FTP Servers
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3545
CVE ID: CVE-2008-4501

12. Serv-U FTP-Server SMNT 命令阻斷服務弱點
弱點編號: 3550
發佈日期: 2009/03/17
風險等級: 低
CVSS 弱點評分: 4
弱點描述:
Serv-U FTP v7.4.0.1 版本存在阻斷服務弱點, 遠端通過攻擊者可在認證之後(包含 anonymous 認證)
送出包含超長字串的 SMNT 命令來造成阻斷服務(停止回應).
弱點類型: FTP Servers
影響平台: 98, Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3550

13. Serv-U FTP Server 未特定阻斷服務弱點
弱點編號: 3547
發佈日期: 2009/03/17
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
Serv-U FTP v6.1.0.4 之前的版本存在目錄跨越弱點弱點. 遠端攻擊者可以利用
(1)畸形封包 (2)在路徑名稱使用 "~" 符號 (3)記憶體消耗來造成服務停止.
弱點類型: FTP Servers
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3547
CVE ID: CVE-2005-3467

14. Serv-U SFTP 遠端阻斷服務弱點
弱點編號: 3546
發佈日期: 2009/03/17
風險等級: 低
CVSS 弱點評分: 4
弱點描述:
Serv-U FTP v7.3 及 v7.2.0.1 之前的版本存在目錄跨越弱點弱點. 遠端攻擊者可以利用 SFTP 命令造成服務停止.
弱點類型: FTP Servers
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3546
CVE ID: CVE-2008-3731

-------------------------------------------------------------------------------------------------- 

風險等級說明: 

  高: 可被攻擊者立即性的存取, 取得管理員權限, 或略過防火牆之類的弱點. 
  中: 提供入侵者重要資訊, 以利攻擊或存取系統之類的弱點. 
  低: 提供入侵者資訊, 可能危及系統安全之類的弱點. 



-------------------------------------------------------------------------------------------------- 

Copyright (c) 2002 DragonSoft Security Associate, Inc. All rights reserved 

如欲轉載, 請保留文件完整內容及版權宣告. 

保證之免責: 本通報的資料可能在未經通知下修改. 
DragonSoft 對於提供的資訊內容並未保證任何性能、 
適當性或其他任何特殊用途, 其全部之風險均由使用此 
資訊的使用者自行負擔.

台灣總部：104 台北市南京東路二段 150 號 10 樓

Tel: 02-2501-0118 Fax: 02-2501-0035

其它國家/地區代理商：美國中國新加坡日本印度荷蘭歐洲斯洛伐克沙烏地阿拉白巴林科威特卡達阿聯大公國葉門阿曼

產品介紹 \| 安全資源 \| 客戶服務 \| 顧問服務 \| 合作夥伴 \| 免費下載 \| 關於中華龍網
Copyright © DragonSoft Security Associates, Inc. All rights reserved..	隱私權聲明