cve

3月2日报道，引述IT之家的消息，知名网络解决方案提供商思科（CISCO）在官网发布公告，宣布旗下的Elastic Services Controller软件出现严重漏洞，使用者在服务登录页面可以绕过密码直接远程登录，且具有所有的管理员权限，影响面非常广。 根据官网的描述，这个名为CVE-2018-0121的漏洞报告指出，在思科自家的Elastic Services Controller软件版本3.0.0中，由于设计上的失误，没有适当的安全限制机制，当用户来到登录页面时，用户只须在密码栏处留白，点选登录，就能取得管理员权限。 登录后会获取管理员权限，对系统安全有严重的威胁造

9月7日大规模数据泄露被曝之后，Equifax在15日宣布，其首席安全官(CSO)苏珊·马尔定，首席信息官(CIO)大卫·韦伯，立即从公司退位。 鲁斯·埃尔斯，原 Equifax IT 部门副总裁，被任命为临时CSO。2016年加入Equifax并主管其国际IT运营的马克·罗瓦瑟，被指定为临时CIO

远程 AIX 主机上安装的 bind 版本受到多个拒绝服务漏洞的影响。 远程 AIX 主机上安装的 bind 版本受到下列漏洞影响：- 处理畸形选项部分时，存在拒绝服务漏洞。未经身份验证的远程攻击者可利用此漏洞，通过特制的 OPT 资源记录，造成断言失败，从而导致后台程序退出

从长远的角度讲，一个完整的安全方案，应该是和现有架构本身的特性，是分开的，它并不能因为现有应用架构拦截了攻击，于是自己就表示影响不大。如果安全方案总是依靠应用现有的特性，那就要承受可能被绕过的隐患，这种隐患，导致我们总有一天，会不得不把补丁老老实实的打上去。如本文就是一个很好的例子

在前几天看到 CVE-2014-6277 这个 BASH 的 bug 的时候，我就觉得挺奇葩的：这这种明显是有意实现的功能怎么会存在这么大的安全隐患呢？我不是专门搞安全的，同时觉得，这个 bug 可能虽然影响广泛，但并不是什么很有技术含量的利用思路。所以我就把这个事情放下没去想它。然而，随之而来的国内国外的各种媒体宣传、安全专家的联名建议、茶余饭后的坊间畅谈……对于 BASH 的这个 bug 无人不认为是个大 bug

近日，山石网科通过 CNA 准入程序，正式成为 CVE 编号颁发机构。目前已有来自36个国家共275位CNA成员，包括Apple、Google、Adobe、OPPO等企业，山石网科是全球成员中为数不多的中国厂商。 此次山石网科进入CNA并成为 CVE 编号颁发机构，将拥有直接分发和管理相关产品 CVE 编号的权限

远端 Scientific Linux 主机缺少一个或多个安全性更新。 在 BIND 处理零长度资源资料记录的方式中发现一个瑕疵。恶意的 DNS 网域拥有者可利用此瑕疵来建立特制的 DNS 资源记录，该记录会导致递回解析器或次要服务器当机，或可能的内存部分泄漏

远端 Web 服务器包含受到多个弱点影响的应用程序。 - 拦截式 (MitM) 资讯泄漏弱点 (又称 POODLE) 是因为在加密区块链接 (CBC) 模式下，解密使用区块加密法加密的讯息时，SSL 3.0 处理填补字节的方式不当所致。MitM 攻击者若能够强制受影响的应用程序透过新建立的 SSL 3.0 连线重复传送相同资料，即可尝试解密所选的加密文字字节 256 次

我们发布了 1.9.2-p330，1.9.2 版本的最后一个发行版。 在宣布终止 1.8.7 和 1.9.2 不久后，1.9.2 版本发现一个严重的安全性错误。 这个风险的 CVE 识别号已经被指派为 CVE-2014-6438

为保障客户的安全，在完成调查并提供修补程式或更新版本之前，Apple 将不会披露、讨论或确认安全性问题。最近更新版本已列于 Apple 安全性更新网页。 Apple 安全性文件会尽可能以 CVE-ID 参照安全漏洞