中国移动网络安全预警通告(2012年11月19日).doc

中国移动网络安全预警通告 文档编号：安全预警信息公告-2012年11月19日-SA-121119-12040 通告概述 本期通告共发布3个安全漏洞信息 其中: ??3个安全漏洞风险级别为中度: ?TP- LINK TL- WR841N路由器的本地文件包含漏洞 ?Microsoft Office Excel的拒绝服务漏洞 ?Google Web 工具包未指定的跨站脚本漏洞 建议您立刻安装相关补丁，或者采取临时的措施！通告分析 安全公告简介： TP -LINK TL- WR841N路由器到本地文件包含漏洞很容易的，因为它没有充分清理用户提供的输入。攻击者可以利用这个漏洞来查看文件和执行本地脚本的背景下，受影响的设备。这可能有助于进一步攻击。 Microsoft Office是微软发布的非常流行的办公软件套件。Microsoft Office 2007 (又名Office 12)中的Microsoft Excel Viewer(又名Xlview.exe)和Excel中存在漏洞。远程攻击者利用该漏洞通过特制的电子表格文件（如带有电池电压数据的.xls文件）导致拒绝服务（读访问冲突和应用程序崩溃）。 Google Web Toolkit中存在未明跨站脚本漏洞，该漏洞源于没有验证用户提供的输入。攻击者利用该漏洞在受影响站点上下文中不知情用户浏览器中执行任意脚本代码，窃取基于cookie认证证书进而发起其他攻击。 安全补丁简介： 详见以下内容。 目录 中国移动网络安全预警通告 1 通告概述 1 漏洞预警部分 5 一、操作系统安全漏洞 5 Windows 5 Linux 5 Solaris 5 AIX 5 HP-UX 5 Mac OS 5 其他系统 5 二、数据库系统安全漏洞 6 DB2 6 Oracle 6 Microsoft SQL Server 6 MySQL 6 Informix 6 Firebird 6 Sybase 6 其他数据库系统 6 三、网络设备安全漏洞 7 Cisco 7 Juniper 7 Huawei 7 其他网络设备 7 漏洞名称: TP- LINK TL- WR841N路由器的本地文件包含漏洞 7 四、WEB应用安全漏洞 8 Apache 8 WebSphere 8 Tomcat 8 WebLogic 8 BEA 9 其他WEB应用 9 漏洞名称: Google Web 工具包未指定的跨站脚本漏洞 9 五、DNS应用安全漏洞 10 BIND 10 Windows DNS 10 其它DNS 10 六、邮件系统以及邮件服务器 10 七、其他应用安全漏洞 10 网管软件 10 办公软件 11 漏洞名称: Microsoft Office Excel的拒绝服务漏洞 11 编程软件 13 及时通讯软件 13 其他软件 13 补丁通告部分 14 一、操作系统补丁 14 Windows 14 Linux 14 Solaris 14 AIX 14 HP-UX 14 Mac OS X 14 二、数据库系统补丁 14 DB2 14 Oracle 15 Microsoft SQL Server 15 MySQL 15 Informix 15 Sybase 15 三、网络设备补丁 15 Cisco 15 Juniper 15 Huawei 15 其他网络设备 15 四、其他应用程序补丁 16 网管软件 16 办公软件 16 编程软件 16 及时通讯软件 16 其他软件 16 漏洞预警部分 一、操作系统安全漏洞 Windows 无 Linux 无 Solaris 无 AIX 无 HP-UX 无 Mac OS 无 其他系统 无 二、数据库系统安全漏洞 DB2 无 Oracle 无 Microsoft SQL Server 无 MySQL 无 Informix 无 Firebird 无 Sybase 无 其他数据库系统 无 三、网络设备安全漏洞 Cisco 无 Juniper 无 Huawei 无 其他网络设备 漏洞名称: TP- LINK TL- WR841N路由器的本地文件包含漏洞 漏洞名称 TP- LINK TL- WR841N路由器的本地文件包含漏洞 发布日期 2012-10-29 漏洞级别 中度 CVE ID 暂无 BugTraq ID 56320 CNCERT ID 暂无 领信ID LVID02 受影响系统 /软件 不受影响系统 / 软件 漏洞起因 输入验证错误 危害 其它 攻击所需条件 漏洞简述 TP -LINK TL- WR841N路由器到本地文件包含漏洞很容易的，因为它没有充分清理用户提供的输入。攻击者可以利用这个漏洞来查看文件和执行本地脚本的背景下，受影响的设备。这可能