值得关注:本周重要安全漏洞公告

　　我们来关注一下本周安全漏洞公告，目前国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞公告,下面列出的安全漏洞对正在使用开源项目的朋友来说值得关注。

　　(一)PHP Football 存在跨站攻击漏洞

　　安氏领信本周报送一个关于PHP Footaball 跨站攻击漏洞。PHP Football 是一款基于PHP的WEB应用程序。PHPFootball不正确处理用户提交的输入，远程攻击者可以利用漏洞针对合法用户的访问进行跨站攻击，可能进行敏感信息窃取或破坏系统等攻击。

　　(二)JForum XSS 漏洞

　　本周报送一个关于JForum XSS安全漏洞。JForum是一个功能强大的开源JAVA 论坛程序。在JForum存在一个XSS漏洞，使得攻击者可以利用它来窃取管理员或者用户的Cookie实现自身的登录。目前JForum还尚未提供相应解决方案。建议用户通过使用开源项目修改代码来实现安全。 '

　　(三)TYPO3集体安全公告TYPO3 - SA系列- 2009 - 020：第三方扩展中的多个漏洞

　　Typo3是开源内容管理系统(CMS)和内容管理框架(CMF)。Typo3的实现上存在多个远程安全漏洞，可能导致用户控制Typo3或运行其上的操作系统。包括：创建弱的加密密钥、认证绕过 不安全的会话管理、跨站脚本执行、远程命令执行。版本低于4.0.10、4.1.8、4.2.4的TYPO3软件受漏洞影响。

　　(四)PHP 'htmlspecialcharacters()'畸形多字节字符跨站脚本漏洞

　　PHP是一款流行的网络编程语言。htmlspecialchars()函数未严格检查多字节序列，远程攻击者可以利用漏洞进行跨站脚本攻击。目前PHP 5.2.12已修复该漏洞，建议用户下载该版本使用。

　　(五)Ghosts cript "errprintf()"缓冲区溢出漏洞

　　Ghosts cript是一款用于显示Posts cript文件或向非Posts cript打印机打印文件的程序。Ghosts cript base/gsmisc.c包含的"errprintf()"函数存在边界错误，构建特殊的PDF文件，通过CUPS打印，可触发基于栈的缓冲区溢出。成功利用漏洞可以以应用程序权限执行任意指令。目前厂商尚未提供解决方案，建议广大用户临时关闭Ghosts cript显示Posts cript文件或向非Posts cript打印机打印文件的功能或采取其他临时措施应对。

　　(六)Wireshark的多个缓冲区溢出和拒绝服务漏洞

　　Wireshark是一款开放源代码的网络协议分析工具。Wireshark存在如：Daintree SNA文件解析可溢出缓冲区导致应用程序崩溃、SMB和SMB2解析器存在安全漏洞可导致应用程序崩溃、IPMI解析器存在安全漏洞可导致应用程序崩溃等多个安全漏洞。

　　(七)PHP-Calendar configfile变量远程文件包含漏洞

　　php-Calendar是一款基于WEB的日历事务系统。php-Calendar多个ijaoben存在目录遍历攻击，提交完整路径名作为update08.php或update10.php脚本configfile参数的数据，可导致以WEB权限查看系统文件内容。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点