CNNVD最新漏洞

今日CNNVD共发布安全漏洞48个，更新安全漏洞2个。主要影响厂商为美国Google（22个）、美国IBM（6个）、美国Linux（4个），主要影响产品为Android 开源操作系统（16个）、IBM Sterling B2B Integrator集成软件（4个）、Linux kernel内核（4个）。

今日需关注的典型漏洞如下:

【漏洞名称】Android NVIDIA mediaserver 权限许可和访问控制漏洞

【漏洞编号】CNNVD-201712-156（CVE-2017-6276）

【漏洞详情】Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。NVIDIA mediaserver是使用在其中的一个多媒体服务器组件。

Android中的NVIDIA mediaserver存在提权漏洞，该漏洞源于不正确的边界检测。本地攻击者可利用该漏洞执行代码并可能提升权限。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://source.android.com/security/bulletin/2017-12-01

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-156

【漏洞名称】IBM Sterling B2B Integrator 信息泄露漏洞

【漏洞编号】CNNVD-201712-100（CVE-2017-1481）

【漏洞详情】IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。

IBM Sterling B2B Integrator 5.2版本中存在信息泄露漏洞。远程攻击者可利用该漏洞查看敏感信息。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www-01.ibm.com/support/docview.wss?uid=swg22010761

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-100

【漏洞名称】Linux kernel 安全漏洞

【漏洞详情】Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。

Linux kernel中存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.kernel.org/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-102

【漏洞名称】WordPress WP Mailster插件跨站脚本漏洞

【漏洞编号】CNNVD-201712-149（CVE-2017-17451）

【漏洞详情】WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。WP Mailster plugin是使用在其中的一个电子邮件插件。

WordPress WP Mailster插件1.5.5之前的版本中的unsubscribe handler存在跨站脚本漏洞。远程攻击者可通过向view/subscription/unsubscribe2.php文件发送‘mes’参数利用该漏洞在浏览器中执行脚本代码。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://wordpress.org/plugins/wp-mailster/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-149

【漏洞名称】SWFTools 缓冲区错误漏洞

【漏洞详情】SWFTools是一个用于处理Adobe Flash文件（SWF文件）的实用程序工具集。

SWFTools中的‘swf_GetBits()’函数存在缓冲区溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务（地址访问异常）。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/matthiaskramm/swftools/issues/21

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201712-203

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag