安全更新（DSA 3761-1 &DSA 3762-1 &DSA 3764-1… &DSA 3840-1）

内容简介：安全更新（DSA 3761-1 &DSA 3762-1 &DSA 3764-1… &DSA 3840-1）

此次安全漏洞更新包括rabbitmq-server、tiff、pdns、mapserver、libphp-swiftmailer、libxpm、openssl、lcms2、tcpdump、libgd2、wordpress、ntfs-3g、svgsalamander、viewvc、libevent、spice、libreoffice、munin、bind9、apache2、mupdf、libquicktime、ruby-zip、zabbix、texlive-base、icoutils、chromium-browser、wireshark、ioquake3、r-base、audiofile、wordpress、jbig2dec、gst-plugins-bad1.0、gst-plugins-base1.0、gst-plugins-good1.0、gst-plugins-ugly1.0、gstreamer、eject、jhead、tryton-server、libreoffice、及mysql-connector-java更新。

漏洞概述

DSA-3761-1 rabbitmq-server — 安全更新

安全数据库详细信息：

rabbitmq-server是一个AMQP协议的实现，发现不能正确验证MQTT连接的认证，这会使任何人不使用密码登陆一个已有的账户。

DSA-3762-1 tiff  — 安全更新

安全数据库详细信息：

libdiff库和相关工具tiff2rgba, rgb2ycbcr, tiffcp, tiffcrop, tiff2pdf, tiffsplit被发现一系列会导致服务崩溃，内存泄露和恶意代码执行的漏洞。

DSA-3764-1 pdns — 安全更新

安全数据库详细信息：

pdns是一个知名的DNS服务器，被发现了一系列漏洞。

DSA-3766-1 mapserver — 安全更新

安全数据库详细信息：

mapserver是一个基于CGI的互联网地图服务, 容易出现堆栈溢出。这会使远程用户有机会瘫痪服务或执行恶意代码。

DSA-3769-1 libphp-swiftmailer  — 安全更新

安全数据库详细信息：

libphp-swiftmailer是一个 php 的邮件解决方案,被发现不会正确验证用户输入,远程攻击者会利用特殊的邮件地址来执行恶意代码。

DSA-3772-1 libxpm  — 安全更新

安全数据库详细信息：

libXpm库有两个整数溢出缺陷，会导致解析xpm插件的时候出现堆边外写(heap out-of-bounds write)。攻击者可以借助一个特殊的xpm文件，当使用libxpm库解析这个文件时会导致服务崩溃或者使用当前用户的权限执行恶意代码。

DSA-3773-1 openssl — 安全更新

安全数据库详细信息：

• CVE-2016-7056: 发现一个针对ECDSA P-256的本地定时攻击；
• CVE-2016-8610: 发现在SSL握手期间没有对警报分组施加限制；
• CVE-2017-3731: RC4-MD5密钥会在32位系统上强制出现边外读(out-of-bounds read),会导致服务崩溃。

DSA-3774-1 lcms2 — 安全更新

安全数据库详细信息：

lcms2是 Little CMS 2 颜色管理库， 其Type_MLU_Read函数中有一个堆边外读的漏洞， 当一个图片有一个特殊的ICC配置文件时会导致堆内存溢出或者服务崩溃。

DSA-3775-1 tcpdump — 安全更新

安全数据库详细信息：

tcpdump是一个命令行的网络流量分析器, 被发现的这些漏洞会导致服务崩溃或者恶意代码执行。

DSA-3777-1 libgd2 — 安全更新

安全数据库详细信息：

libgd2是一个程序化图形创建和操作的库，这些发现的漏洞可能会导致在处理一个畸形的文件时出现服务崩溃或恶意代码执行。

DSA-3779-1 wordpress — 安全更新

安全数据库详细信息：

wordpress是一个网络博客工具， 被发现有几个漏洞会使攻击者劫持受害者的证书，接触敏感信息，执行恶意命令，旁路读取和后期限制，或者进行瘫痪服务的攻击。

DSA-3780-1 ntfs-3g  — 安全更新

安全数据库详细信息：

ntfs-3g是FUSE的NTFS读写驱动，在使用提权执行modprobe之前不会擦洗环境。本地用户可以利用这个漏洞获得root提权。

DSA-3781-1 svgsalamander  — 安全更新

安全数据库详细信息：

SVG Salamander是一个用于 Java 的SVG引擎，容易受到服务器端请求伪造。

DSA-3784-1 viewvc — 安全更新

安全数据库详细信息：

viewvc是一个CVS和Subversion的网页端界面,被发现不会清理用户输入,这会导致潜在的跨站恶意代码执行。

DSA-3789-1 libevent — 安全更新

安全数据库详细信息：

libevent是一个异步事件通知库，被发现有数个漏洞会导致程序崩溃或恶意代码执行。

DSA-3790-1 spice  — 安全更新

安全数据库详细信息：

spice是SPICE协议客户端和服务器库，被发现有一系列的安全漏洞。

DSA-3792-1 libreoffice  — 安全更新

安全数据库详细信息：

libreoffice在Writer和Calc中嵌入的对象会导致信息泄漏。

DSA-3794-1 munin  — 安全更新

安全数据库详细信息：

本次更新修复了 DSA 3794-1 更新导致的munin-cgi-graph中的缩放功能问题。

DSA-3795-1 bind9  — 安全更新

安全数据库详细信息：

一个恶意的查询会导致ISC的BIND DNS 服务崩溃如果同时启用响应策略区域(RPZ)和DNS64(IPv4和IPv6网络之间的网桥). 这个问题不是很常见因为这两个选项很少同时启用。

DSA-3796-1 apache2 — 安全更新

安全数据库详细信息：

HTTP服务器apache2被发现了数个漏洞。

DSA-3797-1 mupdf — 安全更新

安全数据库详细信息：

mupdf是一个pdf阅读器，被发现有多个漏洞会导致当打开特定的pdf文件时服务崩溃或者恶意代码被执行。

DSA-3800-1 libquicktime  — 安全更新

安全数据库详细信息：

libquicktime是一个用来读写 quicktime文件的库，被发现一个整数溢出攻击的漏洞，当打开一个特定的mp4文件时会导致程序崩溃。

DSA-3801-1 ruby-zip  — 安全更新

安全数据库详细信息：

ruby-zip是一个 ruby 的读写zip文件的模块，被发现容易发生目录遍历漏洞。攻击者可以利用此漏洞在zip文件名上添加..来覆盖任意文件。

DSA-3802-1 zabbix  — 安全更新

安全数据库详细信息：

Zabbix是一个网络监控系统，被发现在前端的”Latest data”页面有一个 sql 注入漏洞。

DSA-3803-1 texlive-base  — 安全更新

安全数据库详细信息：

texlive-base是提供tex live必要程序和文件的包，有mpost的白名单可以使mpost在Tex源码中运行.由于mpost可以指定其他程序运行，攻击者可以在编译Tex文件时执行恶意代码。

DSA-3807-1 icoutils  — 安全更新

安全数据库详细信息：

icoutils是一系列处理windows的图标鼠标文件的 工具 集，被发现icotool和wrestool有一系列漏洞, 攻击者可以用特定的.ico或.exe文件使程序崩溃或者执行恶意代码。

DSA-3810-1 chromium-browser  — 安全更新

安全数据库详细信息：

chromium-browser被发现了一系列的漏洞。

DSA-3811-1 wireshark  — 安全更新

安全数据库详细信息：

wireshark是一个网络协议分析器，涉及ASTERIX , DHCPv6,NetScaler, LDSS, IAX2, WSP, K12和STANAG 4607的分析器被发现有数个安全漏洞，会导致服务崩溃或者恶意代码执行。

DSA-3812-1 ioquake3 — 安全更新

安全数据库详细信息：

ioquake3是ioQuake3游戏引擎的修改版本,被发现对自动下载内容（pk3文件或者游戏代码）限制不足，恶意游戏服务器会通过驱动设置修改用户的配置。

DSA-3813-1 r-base  — 安全更新

安全数据库详细信息：

Cory Duplantis发现R语言有一个缓存溢出漏洞,一个恶意编码的文件会导致生成pdf的过程中执行恶意代码。

DSA-3814-1 audiofile  — 安全更新

安全数据库详细信息：

audiofile被发现数个当打开一个恶意的音频文件时会导致服务崩溃或恶意代码执行的漏洞。

DSA-3815-1 wordpress  — 安全更新

安全数据库详细信息：

wordpress被发现有数个漏洞。这会使远程攻击者删除意外文件，运行跨站脚本或者绕过重定向网址验证机制。

DSA-3817-1 jbig2dec  — 安全更新

安全数据库详细信息：

JBIG2解码库被发现了数个漏洞, 会导致当打开畸形的图片文件时服务崩溃或恶意代码执行。

DSA-3818-1 gst-plugins-bad1.0 — 安全更新

安全数据库详细信息：

gstreamer的编解码器被发现有数个漏洞会导致当畸形的媒体文件打开时导致服务崩溃或者恶意代码执行。

DSA-3819-1 gst-plugins-base1.0  — 安全更新

安全数据库详细信息：

gstreamer的编解码器被发现有数个漏洞会导致当畸形的媒体文件打开时导致服务崩溃或者恶意代码执行。

DSA-3820-1 gst-plugins-good1.0  — 安全更新

安全数据库详细信息：

gstreamer的编解码器被发现有数个漏洞会导致当畸形的媒体文件打开时导致服务崩溃或者恶意代码执行。

DSA-3821-1 gst-plugins-ugly1.0  — 安全更新

安全数据库详细信息：

gstreamer的编解码器被发现有数个漏洞会导致当畸形的媒体文件打开时导致服务崩溃或者恶意代码执行。

DSA-3822-1 gstreamer1.0  — 安全更新

安全数据库详细信息：

gstreamer的编解码器被发现有数个漏洞会导致当畸形的媒体文件打开时导致服务崩溃或者恶意代码执行。

DSA-3823-1 eject  — 安全更新

安全数据库详细信息：

dmcrypt-get-device会检查一个设备是否被devmapper处理过，当丢弃权限时不会检查setuid()和setgid()的返回值。

DSA-3825-1 jhead — 安全更新

安全数据库详细信息：

jhead是一个操作符合EXIF标准JPEG文件中非图像部分的工具，容易出现超出范围访问的漏洞，可能会导致服务崩溃或者当打开一个特定的EXIF数据时执行恶意代码。

DSA-3826-1 tryton-server  — 安全更新

安全数据库详细信息：

用于修复CVE-2016-1242的patch并没有解决所有问题，会导致文件内容的信息泄漏。

DSA-3837-1 libreoffice  — 安全更新

安全数据库详细信息：

发现处理windows图元文件时会出现缓冲区溢出，导致程序崩溃或者当打开特定文件时执行恶意代码。

DSA-3840-1 mysql-connector-java  — 安全更新

安全数据库详细信息：

MySQL Connector/J JDBC驱动中的意外的java对象反序列化可能会导致执行恶意代码，更多详情： https://www.computest.nl/advisories/CT-2017-0425_MySQL-Connector-J.txt。

修复情况

rabbitmq-server的安全漏洞在3.6.6-1版本中进行了修复；tiff的安全漏洞在4.0.7-4版本中进行了修复；pdns的安全漏洞在4.0.2-1版本中进行了修复；mapserver的安全漏洞在7.0.4-1版本中进行了修复；libphp-swiftmailer的安全漏洞在5.4.2-1.1版本中进行了修复；libxpm的安全漏洞在1:3.5.12-1版本中进行了修复；openssl的安全漏洞在1.1.0d-1 &1.0.2k-1 版本中进行了修复；lcms2的安全漏洞在2.8-4版本中进行了修复；tcpdump的安全漏洞在4.9.0-1版本中进行了修复；libgd2 的安全漏洞在2.2.4-1版本中进行了修复；wordpress 的安全漏洞在4.7.1+dfsg-1版本中进行了修复；ntfs-3g 的安全漏洞在1:2016.2.22AR.1-4版本中进行了修复；svgsalamander的安全漏洞在1.1.1+dfsg-2版本中进行了修复；viewvc的安全漏洞在1.1.26-1版本中进行了修复；libevent的安全漏洞在2.0.21-stable-3版本中进行了修复；spice的安全漏洞在0.12.8-2.1版本中进行了修复；libreoffice的安全漏洞在1:5.2.3-1版本中进行了修复；munin的安全漏洞在2.0.32-1版本中进行了修复；bind9的安全漏洞在1:9.10.3.dfsg.P4-12版本中进行了修复；apache2的安全漏洞在2.4.25-1版本中进行了修复；mupdf的安全漏洞在1.9a+ds1-4版本中进行了修复；libquicktime的安全漏洞在2:1.2.4-10版本中进行了修复；ruby-zip的安全漏洞在1.2.0-1.1版本中进行了修复；zabbix的安全漏洞在1:3.0.7+dfsg-1版本中进行了修复；texlive-base的安全漏洞在2016.20161130-1版本中进行了修复；icoutils的安全漏洞在0.31.2-1版本中进行了修复；chromium-browser的安全漏洞在57.0.2987.98-1版本中进行了修复；wireshark的安全漏洞在2.2.5+g440fd4d-2版本中进行了修复；ioquake3 的安全漏洞在1.36+u20161101+dfsg1-2版本中进行了修复；r-base的安全漏洞在3.3.3-1版本中进行了修复；audiofile的安全漏洞在0.3.6-4版本中进行了修复；wordpress的安全漏洞在4.7.3+dfsg-1版本中进行了修复；jbig2dec的安全漏洞在0.13-4版本中进行了修复；gst-plugins-bad1.0的安全漏洞在1.10.4-1版本中进行了修复；gst-plugins-base1.0的安全漏洞在1.10.4-1版本中进行了修复；gst-plugins-good1.0的安全漏洞在1.10.3-1版本中进行了修复；gst-plugins-ugly1.0的安全漏洞在1.10.4-1版本中进行了修复；gstreamer的安全漏洞在1.10.3-1版本中进行了修复；eject的安全漏洞在2.1.5+deb1+cvs20081104-13.2版本中进行了修复；jhead的安全漏洞在1:3.00-4版本中进行了修复；tryton-server的安全漏洞在4.2.1-2版本中进行了修复；libreoffice的安全漏洞在1:5.2.5-1版本中进行了修复；mysql-connector-java的安全漏洞在5.1.41-1版本中进行了修复。

请各位尽快更新系统以获取漏洞修复补丁。

以上所述就是小编给大家介绍的《安全更新（DSA 3761-1 &DSA 3762-1 &DSA 3764-1… &DSA 3840-1）》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持！

查看所有标签

猜你喜欢:

• oscnews 1.3.0 更新，更新趋势榜功能
• VLOOK V9.23 更新！表格自动排版大更新
• oscnews 1.0.0 更新，软件更新资讯 Chrome 插件
• .NET Framework 4.8 的 Microsoft 更新目录更新
• 网游丨一月一更新，一更更一月，如何实现热更新？
• CCleaner v5.74.8184 发布：重要更新版本、可自动更新

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。