DragonSoft Secure Scanner 於 March 12, 2008 更新弱點資料庫
弱點資料庫新增 10 個安全弱點
 

1. Oracle 多個弱點-Jan 2008
弱點編號: 3201
發佈日期: 2008/03/06
風險等級: 高
CVSS 弱點評分: 10
弱點描述:
Oracle Database Server 及 HTTP Server 存在多個弱點, 允許遠端及本地攻擊者進行攻擊. 弱點對應包含 CVE-2008-0339,CVE-2008-0340,CVE-2008-0341,CVE-2008-0342, CVE-2008-0343,CVE-2008-0344,CVE-2008-0345,CVE-2008-0346, CVE-2008-0347,CVE-2008-0348,CVE-2008-0349
弱點類型: Oracle
影響平台: Windows NT4, 2000, XP, 2003UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3201
CVE ID:
2. MySQL Server 提升權限弱點
弱點編號: 3200
發佈日期: 2008/02/25
風險等級: 高
CVSS 弱點評分: 7.8
弱點描述:
MySQL Community Server 5.1.22 及之前的版本以及 6.0.3 及之前的版本允許遠端使用者提升權限, 遠端通過驗證的使用者可以送出特殊的 BINLOG 請求而獲得 MySQL 的執行權限.
弱點類型: MySQL
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3200
CVE ID: CVE-2007-6313
3. Apple QuickTime QTPlugin.ocx ActiveX 控制項多個緩衝區溢位弱點
弱點編號: 3199
發佈日期: 2008/02/25
風險等級: 高
CVSS 弱點評分: 7.5
弱點描述:
Apple QuickTime Player 7.4.1 及之前的版本存在多個緩衝區溢位弱點, 因為在 ActiveX 控制項(QTPlugin.ocx) 未適當的做好邊界檢查而造成緩衝區溢位, 遠端攻擊者可以製作一個惡意網頁並透過 email 或放在網站上讓受害者開啟, 攻擊成功便可以受害者的權限執行任意程式碼.
弱點類型: Others
影響平台: Windows NT4, 2000, XP, 2003
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3199
CVE ID: CVE-2008-0778
4. XOOPS URL 轉向弱點
弱點編號: 3204
發佈日期: 2008/03/07
風險等級: 中
CVSS 弱點評分: 5
弱點描述:
XOOPS v2.0.18 存在URL 轉向弱點, 遠端攻擊者可以送出包含惡意請求, 在 xoops_redirect 參數中指定惡意網址給 user.php, 這樣會將受害者導向惡意網站, 造成網站釣魚攻擊.
弱點類型: CGI Scripts
影響平台: UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3204
CVE ID: CVE-2008-0613
5. XOOPS lang 參數加入本地檔案弱點
弱點編號: 3203
發佈日期: 2008/03/07
風險等級: 中
CVSS 弱點評分: 7.5
弱點描述:
XOOPS v2.0.18 存在目錄跨越弱點, 遠端攻擊者可以送出包含 “../” 的 lang 參數請求給 index.php, 這樣可以加入任意的本地檔案進來, 而獲取敏感資訊.
弱點類型: CGI Scripts
影響平台: UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3203
CVE ID: CVE-2008-0612
6. PHPBB2 2.0.22 Cross-Site 偽造請求弱點
弱點編號: 3202
發佈日期: 2008/03/07
風險等級: 中
CVSS 弱點評分: 4.3
弱點描述:
phpBB 2.0.22 版本的 privmsg.php script 存在偽造請求弱點. 遠端攻擊者可以送出特殊的 HTTP 請求, 刪除受害者的私人訊息.
弱點類型: CGI Scripts
影響平台: UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3202
CVE ID: CVE-2008-0471
7. IBM DB2 多個權限提升弱點-Fixpack16
弱點編號: 3207
發佈日期: 2008/03/11
風險等級: 中
CVSS 弱點評分: 10
弱點描述:
IBM DB2 8.2 在 Fixpak 16 之前的版本以及 9.0 Fixpak 4 之前的版本存在多個權限提升弱點, 遠端攻擊者可以攻擊這些弱點提升權限.(CVE-2008-0696,CVE-2008-0697,CVE-2008-0698, CVE-2008-0699,CVE-2007-3676,CVE-2007-5757)
弱點類型: IBM DB2
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3207
CVE ID: CVE-2008-0699
8. Apache Tomcat 參數處理遠端資訊洩漏弱點
弱點編號: 3206
發佈日期: 2008/03/10
風險等級: 低
CVSS 弱點評分: 5.8
弱點描述:
Apache Tomcat  6.0.0-6.0.15 存在資訊洩漏弱點. 問題發在無法正確處理參數時所發生的例外狀況. 遠端攻擊者可以攻擊此弱點而獲得敏感資訊.
弱點類型: Web Servers
影響平台: UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3206
CVE ID: CVE-2008-0002
9. Apache Tomcat 引號 Cookie 遠端資訊洩漏弱點
弱點編號: 3205
發佈日期: 2008/03/10
風險等級: 低
CVSS 弱點評分: 5
弱點描述:
Apache Tomcat  6.0.0-6.0.14, 5.5.0-5.5.25, 及 4.1.0 -4.1.36 存在資訊洩漏弱點. 問題發在無法正確處理 ” 及 %5C(\) 字元. 遠端攻擊者可以攻擊此弱點而獲得 cookie 敏感資訊.
弱點類型: Web Servers
影響平台: UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3205
CVE ID: CVE-2007-5333
10. OpenLDAP MODRDN 阻斷服務弱點
弱點編號: 3198
發佈日期: 2008/02/25
風險等級: 低
CVSS 弱點評分: 6.5
弱點描述:
OpenLDAP v2.3.39 版本存在阻斷服務弱點, 問題發生在 MODRDN, 遠端通過驗證個攻擊者可以利用 NOOP 造成 LDAP 服務停止.
弱點類型: LDAP
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3198
CVE ID: CVE-2008-0658
 

※ 風險等級說明
  高： 可被攻擊者立即性的存取, 取得管理員權限, 或略過防火牆之類的弱點。
  中： 提供入侵者重要資訊, 以利攻擊或存取系統之類的弱點。
  低： 提供入侵者資訊, 可能危及系統安全之類的弱點。
 

Copyright (c) 2002 DragonSoft Security Associate, Inc. All rights reserved
DragonSoft Security Associates, Inc
中華龍網股份有限公司 http://www.dragonsoft.com/
如欲轉載，請保留文件完整內容及版權宣告。
保證之免責：本通報的資料可能在未經通知下修改。
DragonSoft 對於提供的資訊內容並未保證任何性能、適當性或其他任何特殊用途,，其全部之風險均由使用此資訊的使用者自行負擔。

Filed under: 資安訊息