中国移动网络安全预警通告.docx

1、中国移动网络安全预警通告中国移动网络安全预警通告文档编号：安全预警信息公告-2012年11月19日-SA-121119-12040通告概述本期通告共发布3个安全漏洞信息其中:3个安全漏洞风险级别为中度: TP- LINK TL- WR841N路由器的本地文件包含漏洞 Microsoft Office Excel的拒绝服务漏洞 Google Web 工具包未指定的跨站脚本漏洞建议您立刻安装相关补丁，或者采取临时的措施！通告分析 安全公告简介：1. TP -LINK TL- WR841N路由器到本地文件包含漏洞很容易的，因为它没有充分清理用户提供的输入。攻击者可以利用这个漏洞来查看文件和执行本地脚

2、本的背景下，受影响的设备。这可能有助于进一步攻击。2. Microsoft Office是微软发布的非常流行的办公软件套件。Microsoft Office 2007 (又名Office 12)中的Microsoft Excel Viewer(又名Xlview.exe)和Excel中存在漏洞。远程攻击者利用该漏洞通过特制的电子表格文件（如带有电池电压数据的.xls文件）导致拒绝服务（读访问冲突和应用程序崩溃）。3. Google Web Toolkit中存在未明跨站脚本漏洞，该漏洞源于没有验证用户提供的输入。攻击者利用该漏洞在受影响站点上下文中不知情用户浏览器中执行任意脚本代码，窃取基于coo

3、kie认证证书进而发起其他攻击。安全补丁简介：详见以下内容。目录中国移动网络安全预警通告 1通告概述 1漏洞预警部分 5一、操作系统安全漏洞 5Windows 5Linux 5Solaris 5AIX 5HP-UX 5Mac OS 5其他系统 5二、数据库系统安全漏洞 6DB2 6Oracle 6Microsoft SQL Server 6MySQL 6Informix 6Firebird 6Sybase 6其他数据库系统 6三、网络设备安全漏洞 7Cisco 7Juniper 7Huawei 7其他网络设备 7漏洞名称: TP- LINK TL- WR841N路由器的本地文件包含漏洞 7四、

4、WEB应用安全漏洞 8Apache 8WebSphere 8Tomcat 8WebLogic 8BEA 9其他WEB应用 9漏洞名称: Google Web 工具包未指定的跨站脚本漏洞 9五、DNS应用安全漏洞 10BIND 10Windows DNS 10其它DNS 10六、邮件系统以及邮件服务器 10七、其他应用安全漏洞 10网管软件 10办公软件 11漏洞名称: Microsoft Office Excel的拒绝服务漏洞 11编程软件 13及时通讯软件 13其他软件 13补丁通告部分 14一、操作系统补丁 14Windows 14Linux 14Solaris 14AIX 14HP-UX

5、 14Mac OS X 14二、数据库系统补丁 14DB2 14Oracle 15Microsoft SQL Server 15MySQL 15Informix 15Sybase 15三、网络设备补丁 15Cisco 15Juniper 15Huawei 15其他网络设备 15四、其他应用程序补丁 16网管软件 16办公软件 16编程软件 16及时通讯软件 16其他软件 16漏洞预警部分一、操作系统安全漏洞Windows无Linux无Solaris无AIX无HP-UX无Mac OS无其他系统无二、数据库系统安全漏洞DB2无Oracle无Microsoft SQL Server无MySQL无In

6、formix无Firebird无Sybase无其他数据库系统无三、网络设备安全漏洞Cisco无Juniper无Huawei无其他网络设备漏洞名称: TP- LINK TL- WR841N路由器的本地文件包含漏洞漏洞名称TP- LINK TL- WR841N路由器的本地文件包含漏洞发布日期2012-10-29漏洞级别中度CVE ID暂无BugTraq ID56320CNCERT ID暂无领信ID LVID-20121031-02受影响系统 /软件不受影响系统 / 软件漏洞起因输入验证错误危害其它攻击所需条件漏洞简述TP -LINK TL- WR841N路由器到本地文件包含漏洞很容易的，因为它没有

7、充分清理用户提供的输入。攻击者可以利用这个漏洞来查看文件和执行本地脚本的背景下，受影响的设备。这可能有助于进一步攻击。检验方法暂无解决措施应急措施：N/A根除措施：目前厂商暂未发布补丁信息，请关注厂商主页以便及时下载更新： http:/www.tp- 参考链接公开漏洞库：BUGTRAQ ID：CVE ID： N/A其他链接：四、WEB应用安全漏洞Apache无WebSphere无Tomcat无WebLogic无BEA无其他WEB应用漏洞名称: Google Web 工具包未指定的跨站脚本漏洞漏洞名称Google Web 工具包未指定的跨站脚本漏洞发布日期2012-10-30漏洞级别中度CVE

8、IDCVE-2012-4563 BugTraq ID56336CNCERT ID暂无领信ID LVID-20121030-07受影响系统 /软件不受影响系统 / 软件漏洞起因其它错误类型危害其它攻击所需条件漏洞简述Google Web Toolkit中存在未明跨站脚本漏洞，该漏洞源于没有验证用户提供的输入。攻击者利用该漏洞在受影响站点上下文中不知情用户浏览器中执行任意脚本代码，窃取基于cookie认证证书进而发起其他攻击。检验方法暂无解决措施应急措施：N/A根除措施：目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： 参考链接公开漏洞库：BUGTRAQ ID：CVE ID： http:

9、/cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4563其他链接：五、DNS应用安全漏洞BIND无Windows DNS无其它DNS无六、邮件系统以及邮件服务器无七、其他应用安全漏洞网管软件无办公软件漏洞名称: Microsoft Office Excel的拒绝服务漏洞漏洞名称Microsoft Office Excel的拒绝服务漏洞发布日期2012-10-11漏洞级别中度CVE IDCVE-2012-5672 BugTraq ID56309CNCERT ID暂无领信ID LVID-20121011-15受影响系统 /软件Microsoft O

10、ffice 2007 0+ Microsoft Access 2007 0+ Microsoft Access 2007 0+ Microsoft Excel 2003 + Microsoft Excel 2007 0+ Microsoft Excel 2007 0+ Microsoft FrontPage 2003 + Microsoft Groove 2007 0+ Microsoft Groove 2007 0+ Microsoft InfoPath 2003 + Microsoft InfoPath 2007 0+ Microsoft InfoPath 2007 0+ Microsof

11、t Office Communicator 2007 0+ Microsoft Office Communicator 2007 0+ Microsoft One不受影响系统 / 软件漏洞起因其它错误类型危害远程拒绝服务攻击所需条件漏洞简述Microsoft Office是微软发布的非常流行的办公软件套件。Microsoft Office 2007 (又名Office 12)中的Microsoft Excel Viewer(又名Xlview.exe)和Excel中存在漏洞。远程攻击者利用该漏洞通过特制的电子表格文件（如带有电池电压数据的.xls文件）导致拒绝服务（读访问冲突和应用程序崩溃）。检

12、验方法暂无解决措施应急措施：N/A根除措施：目前厂商暂未发布补丁信息，请关注厂商主页以便及时下载更新： 参考链接公开漏洞库：BUGTRAQ ID：CVE ID： http:/cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5672其他链接：Microsoft Excel 主页 (Microsoft ) 编程软件无及时通讯软件无其他软件无补丁通告部分一、操作系统补丁Windows无Linux无Solaris无AIX无HP-UX无Mac OS X无二、数据库系统补丁DB2无Oracle无Microsoft SQL Server无MySQL无Informix无Sybase无三、网络设备补丁Cisco无Juniper无Huawei无其他网络设备无四、其他应用程序补丁网管软件无办公软件无编程软件无及时通讯软件无其他软件无