绿盟科技网络安全威胁周报2017.01 请关注MatrixSSL堆缓冲区溢出漏洞CVE-2016-6890

简介:

绿盟科技发布了本周安全通告,周报编号NSFOCUS-16-39,绿盟科技漏洞库本周新增30条,其中高危9条。本次周报建议大家关注 MatrixSSL 堆缓冲区溢出漏洞 ,目前,此漏洞已经公布了一段时间并且官方已经进行了修复,强烈建议仍在使用受影响版本的用户进行升级。

焦点漏洞

MatrixSSL 堆缓冲区溢出漏洞

  • NSFOCUS ID  35726
  • CVE ID  CVE-2016-6890

受影响版本

  • 3.8.5

漏洞点评

MatrixSSL是SSL/TLS的开源实现,主要应用于嵌入式系统中。由于MatrixSSL对x509证书中SAN(Subject Alternative Name)字段解析存在问题,一个恶意构造的证书可以导致堆缓冲区溢出和任意代码执行。此漏洞已经公布了一段时间并且官方已经进行了修复,强烈建议仍在使用受影响版本的用户进行升级。

(数据来源:绿盟科技安全研究部&产品规则组)

互联网安全态势

CVE统计

cve-201640.png

最近一周CVE公告总数与前期相比。值得关注的高危漏洞如下:

cvss-201640.png

威胁热点信息回顾

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

绿盟科技漏洞研究

绿盟科技漏洞库新增30条

截止到2017年1月6日,绿盟科技漏洞库已收录总条目达到35728条。本周新增漏洞记录30条,其中高危漏洞数量9条,中危漏洞数量21条,低危漏洞数量0条。

vul-nsf-201640-1.png

vul-nsf-201640-2.png

  • BlueZ 缓冲区溢出及拒绝服务漏洞
    • 危险等级:中
    • BID:95013
    • cve编号:CVE-2016-9918,CVE-2016-9917
  • Piwigo 远程文件包含漏洞(CVE-2016-10085)
    • 危险等级:高
    • BID:95167
    • cve编号:CVE-2016-10085
  • ImageMagick 模块加载安全限制绕过漏洞(CVE-2016-10048)
    • 危险等级:中
    • BID:95186
    • cve编号:CVE-2016-10048
  • ImageMagick 缓冲区溢出漏洞(CVE-2016-10055)
    • 危险等级:中
    • BID:95193
    • cve编号:CVE-2016-10055
  • ImageMagick 缓冲区溢出漏洞(CVE-2016-10056)
    • 危险等级:中
    • BID:95190
    • cve编号:CVE-2016-10056
  • ImageMagick 缓冲区溢出漏洞(CVE-2016-10054)
    • 危险等级:中
    • BID:95191
    • cve编号:CVE-2016-10054
  • ImageMagick 缓冲区溢出漏洞(CVE-2016-10057)
    • 危险等级:中
    • BID:95192
    • cve编号:CVE-2016-10057
  • Western Digital MyCloud NAS 远程命令注入漏洞(CVE-2016-10108)
    • 危险等级:高
    • BID:95200
    • cve编号:CVE-2016-10108
  • NETGEAR 多个产品目录遍历漏洞(CVE-2016-10106)
    • 危险等级:中
    • BID:95204
    • cve编号:CVE-2016-10106
  • Western Digital MyCloud NAS 远程命令注入漏洞(CVE-2016-10107)
    • 危险等级:高
    • BID:95201
    • cve编号:CVE-2016-10107
  • Quick Heal 多个产品栈缓冲区溢出漏洞(CVE-2016-5005)
    • 危险等级:中
    • BID:95194
    • cve编号:CVE-2016-5005
  • Piwigo 远程文件包含漏洞(CVE-2016-10105)
    • 危险等级:高
    • BID:95202
    • cve编号:CVE-2016-10105
  • PHP CURLFile 拒绝服务漏洞(CVE-2016-9137)
    • 危险等级:中
    • cve编号:CVE-2016-9137
  • PHP __wakeup拒绝服务漏洞(CVE-2016-9138)
    • 危险等级:中
    • cve编号:CVE-2016-9138
  • PHP gdImageFillToBorder函数拒绝服务漏洞(CVE-2016-9933)
    • 危险等级:中
    • cve编号:CVE-2016-9933
  • PHP ext/standard/var.c拒绝服务漏洞(CVE-2016-9936)
    • 危险等级:中
    • cve编号:CVE-2016-9936
  • PHP ext/wddx/wddx.c拒绝服务漏洞(CVE-2016-9935)
    • 危险等级:中
    • cve编号:CVE-2016-9935
  • PHP ext/wddx/wddx.c拒绝服务漏洞(CVE-2016-9934)
    • 危险等级:中
    • cve编号:CVE-2016-9934
  • Google Android 权限提升漏洞(CVE-2017-0387)
    • 危险等级:中
    • BID:95258
    • cve编号:CVE-2017-0387
  • Google Nexus Qualcomm Wi-Fi Driver权限提升漏洞(CVE-2016-8415)
    • 危险等级:中
    • BID:95260
    • cve编号:CVE-2016-8415
  • Google Android Qualcomm Video Driver权限提升漏洞(CVE-2016-8436)
    • 危险等级:中
    • BID:95259
    • cve编号:CVE-2016-8436
  • Google Android 权限提升漏洞(CVE-2017-0395)
    • 危险等级:中
    • BID:95261
    • cve编号:CVE-2017-0395
  • Google Nexus NVIDIA GPU Driver权限提升漏洞(CVE-2016-8449)
    • 危险等级:中
    • BID:95262
    • cve编号:CVE-2016-8449
  • Google Nexus Qualcomm GPU Driver权限提升漏洞(CVE-2016-8434)
    • 危险等级:中
    • BID:95257
    • cve编号:CVE-2016-8434
  • Linux Kernel本地整数溢出漏洞(CVE-2016-9754)
    • 危险等级:高
    • BID:95278
    • cve编号:CVE-2016-9754
  • Python smtplib中间人安全限制绕过漏洞(CVE-2016-0772)
    • 危险等级:中
    • BID:91225
    • cve编号:CVE-2016-0772
  • Python ‘urrlib2/urllib/httplib/http.client’ HTTP标头注入漏洞
    • 危险等级:高
    • BID:91226
    • cve编号:CVE-2016-5699
  • MatrixSSL 堆缓冲区溢出漏洞(CVE-2016-6890)
    • 危险等级:高
    • BID:93498
    • cve编号:CVE-2016-6890
  • MatrixSSL x509FreeExtensions函数拒绝服务漏洞(CVE-2016-6892)
    • 危险等级:高
    • BID:93498
    • cve编号:CVE-2016-6892
  • MatrixSSL 拒绝服务漏洞(CVE-2016-6891)
    • 危险等级:高
    • BID:93498
    • cve编号:CVE-2016-6891

(数据来源:绿盟科技安全研究部&产品规则组)



原文发布时间:2017年3月24日

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201701

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
21小时前
|
SQL 安全 算法
网络防线的构筑者:漏洞、加密与意识
【7月更文挑战第18天】在数字化浪潮中,网络安全与信息安全成为维护信息资产的重要屏障。本文将深入探讨网络安全漏洞的类型与应对策略,解析当前加密技术的作用与局限,并强调提升个人与企业的安全意识对于构建坚固网络防线的重要性。
|
22小时前
|
SQL 安全 网络安全
网络安全漏洞与信息安全:加密技术与安全意识的重要性
在数字化时代,网络安全已成为一个日益重要的议题。本文将探讨网络安全漏洞、加密技术和安全意识等方面的内容。我们将分析常见的网络安全漏洞,如恶意软件、钓鱼攻击和SQL注入等,并讨论如何通过加强加密技术和提高安全意识来应对这些威胁。最后,我们将总结网络安全的重要性,并提出一些建议,以帮助读者更好地保护自己的信息安全。
|
22小时前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密技术与安全意识的深度剖析
在数字化时代,网络安全与信息安全成为了全球关注的焦点。本文旨在深入探讨网络安全中的漏洞问题、加密技术的应用以及提升个人和组织的安全意识。通过分析最新的统计数据和具体案例,文章揭示了网络攻击的常见形式及其对个人隐私和企业数据的潜在威胁。同时,本文还将介绍当前最先进的加密技术,并讨论如何有效提升整个社会的安全防范意识。
|
19小时前
|
SQL 安全 测试技术
网络安全漏洞与防护策略:加密技术与安全意识的双重防线
【7月更文挑战第18天】在数字时代,网络安全成为维护信息完整性和隐私保护的关键战场。本文将深入探讨网络安全的薄弱环节,特别是软件漏洞、加密技术的局限性以及人为因素导致的安全威胁。我们将分析当前网络环境中存在的安全挑战,并讨论如何通过强化加密措施和提升用户的安全意识来构建更为坚固的防御体系。最终,我们旨在为读者提供一套实用的网络安全策略,以抵御日益复杂的网络攻击。
|
22小时前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【7月更文挑战第18天】在数字化时代,网络安全和信息安全成为了全球关注的焦点。本文将深入探讨网络安全漏洞、加密技术以及安全意识的重要性。我们将分析常见的网络攻击方式,如钓鱼攻击、恶意软件和DDoS攻击,并讨论如何通过强化密码学原理、公钥基础设施(PKI)和最新的量子加密技术来提升数据保护。此外,本文还将强调个人和企业应如何提高安全意识,以防范潜在的网络威胁。
4 0
|
1天前
|
安全 程序员 网络安全
编码之舞:我的编程技术感悟网络安全与信息安全:漏洞、加密技术及安全意识的探讨
在数字世界的广阔舞台上,编程技术如同一种精确而优美的舞蹈。它不仅要求逻辑的严密和技术的精湛,还需要创新思维和持续学习的热情。本文将分享作者在编程旅程中的个人感悟,探讨如何通过实践、学习和反思不断提升编程能力,并在技术探索中找到乐趣和成就感。 在数字化时代,网络安全和信息安全已成为全球关注的焦点。随着网络攻击手段的不断升级,如何保护个人和企业的数据安全成为了一个亟待解决的问题。本文将深入探讨网络安全漏洞的产生原因、加密技术的应用以及提升安全意识的重要性。通过分析具体案例,我们将揭示网络安全领域的最新发展趋势,并提供实用的防护策略,帮助读者构建更为坚固的安全防线。
|
1天前
|
SQL 安全 算法
网络安全与信息安全:保护数据的关键策略
【7月更文挑战第17天】在数字化时代的浪潮中,网络安全和信息安全的重要性日益凸显。本文将深入探讨网络安全漏洞的成因、影响以及防范措施,同时分析加密技术在保障信息传输安全中的应用,并强调提高个人与企业的安全意识在防御网络威胁中的核心作用。文章旨在为读者提供全面的网络安全知识框架,帮助构建更为坚固的防护墙,确保数据资产的安全。
|
3天前
|
SQL 安全 算法
网络安全与信息安全的现代挑战:漏洞、加密与意识
在数字化时代,网络安全与信息安全的重要性日益凸显。本文深入探讨了网络安全漏洞的类型和成因,分析了加密技术如何保护数据安全,并强调了提升个人和企业的安全意识的必要性。通过案例分析,文章揭示了网络攻击的复杂性和对防御措施的需求,同时指出了安全教育在减少安全事故中的关键作用。
|
22小时前
|
安全 网络安全 数据安全/隐私保护
数字时代的守护者:网络安全与信息安全的现代挑战
【7月更文挑战第18天】在数字化浪潮不断推进的今天,网络安全与信息安全已成为全球关注的焦点。本文旨在深入探讨网络安全漏洞的成因、影响及其防御策略,同时对加密技术的原理和应用进行剖析,并强调提升个人与企业的安全意识的重要性。文章将通过案例分析,揭示网络威胁的多样性和复杂性,并提出相应的对策,以期为读者提供一套全面的网络安全知识框架。
|
1天前
|
安全 算法 网络安全
网络安全与信息安全:漏洞、加密与意识的三重防线
本文将探讨网络安全与信息安全领域的关键要素,着重分析网络安全漏洞、加密技术以及安全意识的重要性。文章旨在通过数据驱动和案例分析,揭示网络威胁的多维面貌,并探讨如何构建有效的防御机制。我们将从最新的统计数据出发,评估当前加密技术的有效性,并通过实际案例来强调提升个人和组织安全意识的必要性。最终,本文将提供一系列策略建议,帮助读者在数字化时代中更好地保护自己的信息资产。
9 2

热门文章

最新文章