DragonSoft 弱點更新摘要:April 8,2008
DragonSoft Secure Scanner 於 April 8, 2008 更新弱點資料庫
弱點資料庫新增 5 個安全弱點
1. ZyXEL Prestige Router 預設密碼弱點
弱點編號: 3210
發佈日期: 2008/04/01
風險等級: 高
CVSS 弱點評分: 7.5
弱點描述:
ZyXEL Prestige routers P-660 及 P-661 型號使用韌體 3.40(AGD.2)-3.40(AHQ.3) 的出廠預設 admin 帳號的管理密碼為 1234, 遠端攻擊者可以獲取管理權限, 變更設定與密碼.
弱點類型: Router_Switch
影響平台: ZyXEL
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3210
CVE ID: CVE-2008-1522
2. OpenSSH ForceCommand 命令執行弱點
弱點編號: 3213
發佈日期: 2008/04/07
風險等級: 高
CVSS 弱點評分: 4.3
弱點描述:
OpenSSH v4.9 之前的版本存在命令執行弱點. 通過驗證的遠端攻擊者可以修改 .ssh/rc session 檔案, 然後避過 sshd_config ForceCommand 的限制. 攻擊者可以在系統上執行任意命令.
弱點類型: SSH Servers
影響平台: UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3213
CVE ID: CVE-2008-1657
3. PHP php_sprintf_appendstring 函數緩衝區溢位弱點
弱點編號: 3211
發佈日期: 2008/04/03
風險等級: 高
CVSS 弱點評分: 5
弱點描述:
PHP 5 v5.2.5 及之前版本的 php_sprintf_appendstring 函數存在緩衝區溢位弱點. 遠端攻擊者可以送出超長字串給 npad 參數, 造成緩衝區溢位並執行任意程式碼.
弱點類型: Web Servers
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3211
CVE ID: CVE-2008-1384
4. ZyXEL Prestige Router 管理頁面安全忽略弱點
弱點編號: 3209
發佈日期: 2008/04/01
風險等級: 中
CVSS 弱點評分: 6.5
弱點描述:
ZyXEL Prestige P-660 及 P-661 型號使用 3.40(AGD.2)-3.40(AHQ.3) 韌體的產品存在安全忽略弱點. 因為管理頁面未充分做好限制, 一個通過驗證的遠端攻擊者可以送出一個惡意的 URI 請求而獲得管理頁面的存取權.
弱點類型: Router_Switch
影響平台: ZyXEL Prestige P-660, P-661
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3209
CVE ID: CVE-2008-1521
5. phpMyAdmin Session 資料訊息洩漏弱點
弱點編號: 3212
發佈日期: 2008/04/07
風險等級: 低
CVSS 弱點評分: 2.1
弱點描述:
phpMyAdmin v2.11.5.0 及之前的版本存在資訊洩漏弱點. 因為 phpMyAdmin 把 MySQL 的帳號,密碼, 以及 Blowfish 的私鑰以明文的方式儲存在 /tmp 的 Session 檔案. 本地攻擊者可以利用這個弱點獲得敏感資訊.
弱點類型: CGI Scripts
影響平台: Windows, UNIX
網址連結: http://vdb.dragonsoft.com.tw/detail.php?id=3212
CVE ID: CVE-2008-1567
※ 風險等級說明
高: 可被攻擊者立即性的存取, 取得管理員權限, 或略過防火牆之類的弱點。
中: 提供入侵者重要資訊, 以利攻擊或存取系統之類的弱點。
低: 提供入侵者資訊, 可能危及系統安全之類的弱點。
Copyright (c) 2002 DragonSoft Security Associate, Inc. All rights reserved
DragonSoft Security Associates, Inc
中華龍網股份有限公司 http://www.dragonsoft.com/
如欲轉載,請保留文件完整內容及版權宣告。
保證之免責:本通報的資料可能在未經通知下修改。
DragonSoft 對於提供的資訊內容並未保證任何性能、適當性或其他任何特殊用途,,其全部之風險均由使用此資訊的使用者自行負擔。
Filed under: 資安訊息