DragonSoft->Support->安全通報

Advisories & Alerts

1. Mozilla Firefox 'designMode' 空指標阻斷服務弱點
弱點編號: 3660
發佈日期: 2009/04/05
風險等級: 高
CVSS 弱點評分: 3
弱點描述:
Mozilla Firefox 3.0.8 及之前的版本存在阻斷服務, 遠端攻擊者可以在網頁上利用 replaceChild 或 removeChild 呼叫 (1)queryCommandValue (2)queryCommandState 或 (3)queryCommandIndeterm 來當掉瀏覽器.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3660
CVE ID: CVE-2009-0071

2. Fedora OpenJDK 漏洞修補更新-FEDORA-2009-3058
弱點編號: 3648
發佈日期: 2009/04/03
風險等級: 高
CVSS 弱點評分: 9
弱點描述:
主機未安裝 FEDORA-2009-3058 openjdk 漏洞修補更新.
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3648

3. Netatalk 列印請求任意命令植入弱點-Fedora 10
弱點編號: 3647
發佈日期: 2009/04/03
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Netatalk 在 2.0.4-beta2 之前版本的 papd daemon 存在一個弱點, 遠端攻擊者可以送出一個特殊的列印請求給 papd daemon 而執行任溢命令.
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3647
CVE ID: CVE-2008-5718

4. Netatalk 列印請求任意命令植入弱點-Fedora 9
弱點編號: 3646
發佈日期: 2009/04/03
風險等級: 高
CVSS 弱點評分: 9.3
弱點描述:
Netatalk 在 2.0.4-beta2 之前版本的 papd daemon 存在一個弱點, 遠端攻擊者可以送出一個特殊的列印請求給 papd daemon 而執行任溢命令.
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3646
CVE ID: CVE-2008-5718

5. IBM WebSphere Application Server WAR 檔案資訊洩漏弱點
弱點編號: 3668
發佈日期: 2009/04/10
風險等級: 高
CVSS 弱點評分: 5
弱點描述:
IBM WebSphere Application Server (WAS) 5.1.0, 5.1.1.19, 6.0.2 在 6.0.2.35 之前版本以及 6.1 在 6.1.0.23 之前版本以及 7.0 在 7.0.0.1 之前版本的 Servlet Engine/Web Container 元件存在安全問題, 遠端攻擊者可以利用這個弱點檢視 war 檔案.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3668
CVE ID: CVE-2009-0508

6. VMware Hosted Products VMSA-2009-0005 多個遠端弱點
弱點編號: 3661
發佈日期: 2009/04/07
風險等級: 高
CVSS 弱點評分: 6.4
弱點描述:
VMware Workstation 6.5.x 在 6.5.2 build 156735 之前的版本存在多個弱點. (CVE-2008-4916, CVE-2008-3761, CVE-2009-1146, CVE-2009-1147, CVE-2009-0909, CVE-2009-0910, CVE-2009-0908, CVE-2009-0177, CVE-2009-0518)
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3661
CVE ID: CVE-2009-1147

7. GNOME glib Base64 編碼與解碼多個整數溢位弱點-Fedora 9
弱點編號: 3649
發佈日期: 2009/04/03
風險等級: 高
CVSS 弱點評分: 4.6
弱點描述:
GLib 在 v2.20 之前版本的 Base64 編碼與解碼存在多個整數溢位弱點.
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3649
CVE ID: CVE-2008-4316

8. Evolution Data Server Base64 編碼與解碼多個整數溢位弱點-Fedora 9
弱點編號: 3644
發佈日期: 2009/04/03
風險等級: 高
CVSS 弱點評分: 5.8
弱點描述:
Evolution Data Server(evolution-data-server) 在 v2.24.5 之前版本的 Base64 編碼與解碼存在多個整數溢位弱點. (CVE-2009-0547, CVE-2009-0582, CVE-2009-0587)
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3644
CVE ID: CVE-2009-0582

9. Evolution Data Server Base64 編碼與解碼多個整數溢位弱點-Fedora 10
弱點編號: 3643
發佈日期: 2009/04/03
風險等級: 高
CVSS 弱點評分: 5.8
弱點描述:
Evolution Data Server(evolution-data-server) 在 v2.24.5 之前版本的 Base64 編碼與解碼存在多個整數溢位弱點. (CVE-2009-0547, CVE-2009-0582, CVE-2009-0587)
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3643
CVE ID: CVE-2009-0582

10. IBM WebSphere Application Server WS-Security Session 脅持弱點
弱點編號: 3667
發佈日期: 2009/04/10
風險等級: 中
CVSS 弱點評分: 5.5
弱點描述:
IBM WebSphere Application Server (WAS) 6.0.2 在 6.0.2.33 之前版本以及 6.1 在 6.1.0.23 之前版本以及 7.0 在 7.0.0.1 之前版本的網站安全元件存在安全問題, 允許遠端通過驗證的使用者進行 Session 脅持攻擊.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3667
CVE ID: CVE-2009-0891

11. IBM WebSphere Application Server 管理控制台 Session 脅持弱點
弱點編號: 3666
發佈日期: 2009/04/10
風險等級: 中
CVSS 弱點評分: 5.5
弱點描述:
IBM WebSphere Application Server (WAS) 6.1 在 6.1.0.23 之前版本以及 7.0 在 7.0.0.3 之前版本存在安全弱點, 遠端攻擊者可以脅持使用者的 session.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3666
CVE ID: CVE-2009-0892

12. Check Point FireWall-1 PKI 網站服務遠端緩衝區溢位弱點
弱點編號: 3659
發佈日期: 2009/04/05
風險等級: 中
CVSS 弱點評分: 7.5
弱點描述:
Check Point Firewall-1 的 PKI 網站服務存在緩衝區溢位弱點. 遠端攻擊者可以送出超長的 Authorization 或 Referer HTTP 標頭給 TCP 18624 通訊埠, 將造成阻斷服務或執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3659
CVE ID: CVE-2009-1227

13. phpMyAdmin 多個弱點-Fedora
弱點編號: 3642
發佈日期: 2009/04/03
風險等級: 中
CVSS 弱點評分: 6
弱點描述:
phpMyAdmin 2.11.x 到 2.11.9.4 和 3.x 到 3.1.1.0 版本存在跨站請求偽造弱點, 遠端攻擊者可以經由變更過的 table 參數, 能未經授權而以管理者的權限執行 SQL injection 以及執行任意程式碼. (CVE-2006-6942, CVE-2007-5977, CVE-2008-4096, CVE-2008-4775, CVE-2008-5621, CVE-2008-5622)
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3642
CVE ID: CVE-2008-5622

14. ClamAV 0.94 多個弱點-RedHat
弱點編號: 3654
發佈日期: 2009/04/04
風險等級: 中
CVSS 弱點評分: 7.5
弱點描述:
ClamAV 0.95 之前的版本存在多個安全弱點. (CVE-2008-6680, CVE-2009-1241, CVE-2009-1270)
弱點類型: Red Hat Security Checks
影響平台: Red Hat
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3654
CVE ID: CVE-2009-1241

15. ClamAV 0.94 多個弱點-SUSE
弱點編號: 3653
發佈日期: 2009/04/04
風險等級: 中
CVSS 弱點評分: 7.5
弱點描述:
ClamAV 0.95 之前的版本存在多個安全弱點. (CVE-2008-6680, CVE-2009-1241, CVE-2009-1270)
弱點類型: SUSE Security Checks
影響平台: SUSE
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3653
CVE ID: CVE-2009-1241

16. ClamAV 0.94 多個弱點-Mandriva
弱點編號: 3652
發佈日期: 2009/04/04
風險等級: 中
CVSS 弱點評分: 7.5
弱點描述:
ClamAV 0.95 之前的版本存在多個安全弱點. (CVE-2008-6680, CVE-2009-1241, CVE-2009-1270)
弱點類型: Mandriva Security Checks
影響平台: Mandriva
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3652
CVE ID: CVE-2009-1241

17. ClamAV 0.94 多個弱點-Fedora
弱點編號: 3651
發佈日期: 2009/04/04
風險等級: 中
CVSS 弱點評分: 7.5
弱點描述:
ClamAV 0.95 之前的版本存在多個安全弱點. (CVE-2008-6680, CVE-2009-1241, CVE-2009-1270)
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3651
CVE ID: CVE-2009-1241

18. ClamAV 0.94 多個弱點-FreeBSD
弱點編號: 3650
發佈日期: 2009/04/04
風險等級: 中
CVSS 弱點評分: 7.5
弱點描述:
ClamAV 0.95 之前的版本存在多個安全弱點. (CVE-2008-6680, CVE-2009-1241, CVE-2009-1270)
弱點類型: FreeBSD Security Checks
影響平台: FreeBSD
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3650
CVE ID: CVE-2009-1241

19. PHP php_zip_make_relative_path() 函數遠端阻斷服務弱點
弱點編號: 3672
發佈日期: 2009/04/10
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
PHP 5 在 5.2.9 之前版本存在阻斷服務弱點, 問題在 php_zip_make_relative_path() 函數(in php_zip.c). 遠端攻擊者可以送出包含惡意路徑的 ZIP 檔案造成阻斷服務.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3672
CVE ID: CVE-2009-1272

20. PHP Json_decode() 函數遠端阻斷服務弱點
弱點編號: 3671
發佈日期: 2009/04/10
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
PHP 5 在 5.2.9 之前版本存在阻斷服務弱點, 問題在 Json_decode() 函數. 遠端攻擊者可以送出特別的字串給 json_decode API 函數造成阻斷服務.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3671
CVE ID: CVE-2009-1271

21. IBM WebSphere Application Server 管理控制台 Cross Site Scripting 弱點
弱點編號: 3670
發佈日期: 2009/04/10
風險等級: 低
CVSS 弱點評分: 4.3
弱點描述:
IBM WebSphere Application Server (WAS) 6.1 在 6.1.0.23 之前版本以及 7.0 在 7.0.0.3 之前版本的管理控制台中存在多個 cross-site scripting (XSS) 弱點, 遠端攻擊者可以利用這個弱點植入任意的 script 或 HTML.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3670
CVE ID: CVE-2009-0855

22. IBM WebSphere Application Server 範例應用 Cross Site Scripting 弱點
弱點編號: 3669
發佈日期: 2009/04/10
風險等級: 低
CVSS 弱點評分: 4.3
弱點描述:
IBM WebSphere Application Server (WAS) 6.1 在 6.1.0.23 之前版本以及 7.0 在 7.0.0.3 之前版本的範例應用中存在多個 cross-site scripting (XSS) 弱點, 遠端攻擊者可以利用這個弱點植入任意的 script 或 HTML.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3669
CVE ID: CVE-2009-0856

23. IBM WebSphere Application Server JAX-RPC WS-Security 未特定弱點
弱點編號: 3665
發佈日期: 2009/04/10
風險等級: 低
CVSS 弱點評分: 10
弱點描述:
IBM WebSphere Application Server (WAS) 6.1 在 6.1.0.23 之前版本以及 7.0 在 7.0.0.3 之前版本的網站安全元件存在安全問題, 問題出在 JAX-RPC WS-Security 的 UsernameToken 物件.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3665
CVE ID: CVE-2009-1172

24. IBM WebSphere Application Server XML 數位簽章未特定弱點
弱點編號: 3663
發佈日期: 2009/04/10
風險等級: 低
CVSS 弱點評分: 10
弱點描述:
IBM WebSphere Application Server (WAS) 7.0 在 7.0.0.3 之前版本的網站安全元件存在安全問題, 問題出在 XML 數位簽章.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3663
CVE ID: CVE-2009-1174

25. OpenSSL ASN1_STRING_print_ex 函數阻斷服務弱點-Debian
弱點編號: 3662
發佈日期: 2009/04/08
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
OpenSSL 0.9.8k 之前的版本在處理結構的 ASN1_STRING_print_ex 函數存在阻斷服務弱點(Denial of Service). 遠端攻擊者藉由 (1)BMPString (2)包含無效編碼長度的 UniversalString 來激發列印功能而造成停止服務.
弱點類型: Debian Security Checks
影響平台: Debian
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3662
CVE ID: CVE-2009-0590

26. IBM DB2 9.5 多個弱點- Fixpak 3a
弱點編號: 3658
發佈日期: 2009/04/05
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
IBM DB2 8.1 在 Fixpak 3a 之前的版本存在多個弱點, 遠端攻擊者可以攻擊這些弱點以執行任意程式碼或阻斷服務. (CVE-2009-0172,CVE-2009-0173)
弱點類型: IBM DB2
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3658
CVE ID: CVE-2009-0172

27. IBM DB2 8.1 多個弱點- Fixpak 17a
弱點編號: 3657
發佈日期: 2009/04/05
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
IBM DB2 8.1 在 Fixpak 17a 之前的版本存在多個弱點, 遠端攻擊者可以攻擊這些弱點以執行任意程式碼或阻斷服務.
弱點類型: IBM DB2
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3657
CVE ID: CVE-2009-0172

28. OpenSSL ASN1_STRING_print_ex 函數阻斷服務弱點-Mandriva
弱點編號: 3656
發佈日期: 2009/04/05
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
OpenSSL 0.9.8k 之前的版本在處理結構的 ASN1_STRING_print_ex 函數存在阻斷服務弱點(Denial of Service). 遠端攻擊者藉由 (1)BMPString (2)包含無效編碼長度的 UniversalString 來激發列印功能而造成停止服務.
弱點類型: Mandriva Security Checks
影響平台: Mandriva
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3656
CVE ID: CVE-2009-0590

29. PostgreSQL 轉換編碼遠端阻斷服務弱點-Fedora
弱點編號: 3645
發佈日期: 2009/04/03
風險等級: 低
CVSS 弱點評分: 4
弱點描述:
PostgreSQL 在 8.3.7, 8.2.13, 8.1.17, 8.0.21, 以及 7.4.25 之前的版本存在阻斷服務弱點. 遠端通過驗證的攻擊者可以送出不協調的編碼轉換請求來當掉程式.
弱點類型: Fedora Security Checks
影響平台: Fedora
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3645
CVE ID: CVE-2009-0922

30. IBM WebSphere Application Server 不安全的權限弱點
弱點編號: 3664
發佈日期: 2009/04/10
風險等級: 低
CVSS 弱點評分: 2.1
弱點描述:
IBM WebSphere Application Server (WAS) 7.0 在 7.0.0.3 之前版本的 "interim fixes" 相關檔案權限設定(777)存在不安全的弱點. 本地攻擊者可以獲得敏感資訊或危害資料.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3664
CVE ID: CVE-2009-1173

-------------------------------------------------------------------------------------------------- 

風險等級說明: 

  高: 可被攻擊者立即性的存取, 取得管理員權限, 或略過防火牆之類的弱點. 
  中: 提供入侵者重要資訊, 以利攻擊或存取系統之類的弱點. 
  低: 提供入侵者資訊, 可能危及系統安全之類的弱點. 



-------------------------------------------------------------------------------------------------- 

Copyright (c) 2002 DragonSoft Security Associate, Inc. All rights reserved 

如欲轉載, 請保留文件完整內容及版權宣告. 

保證之免責: 本通報的資料可能在未經通知下修改. 
DragonSoft 對於提供的資訊內容並未保證任何性能、 
適當性或其他任何特殊用途, 其全部之風險均由使用此 
資訊的使用者自行負擔.

台灣總部：104 台北市南京東路二段 150 號 10 樓

Tel: 02-2501-0118 Fax: 02-2501-0035

其它國家/地區代理商：美國中國新加坡日本印度荷蘭歐洲斯洛伐克沙烏地阿拉白巴林科威特卡達阿聯大公國葉門阿曼

產品介紹 \| 安全資源 \| 客戶服務 \| 顧問服務 \| 合作夥伴 \| 免費下載 \| 關於中華龍網
Copyright © DragonSoft Security Associates, Inc. All rights reserved..	隱私權聲明