本文講的是關於wps office安全漏洞情況的通報,近日,國家資訊保安漏洞庫(cnnvd)收到關於wps office緩衝區錯誤漏洞的情況報送,並於第一時間與軟體廠商「北京金山辦公軟體公司」進行了溝通。經金山公司確認,該漏洞存在。根據cnnvd相關規定,已對此漏洞進行收錄,並分配編號cnnvd-201702-646。漏洞相關情況如下:
一、漏洞簡介
wps office是北京金山辦公軟體公司研發的一套辦公軟體。該軟體提供了辦公軟體最常用的文字、**、演示等功能。
wps office中存在越邊界讀取漏洞(cnnvd-201702-646)。該漏洞是由於wps office文字的docreader模組在呼叫『memcpy()』函式時,程式沒有充分執行邊界檢查。導致攻擊者可利用該漏洞造成拒絕服務(越邊界讀取)。
受影響版本如下:
1、wps office 2016個人版(10.1.0.6207)及之前版本;
2、wps office 2016專業版(10.8.0.5715)及之前版本。
二、漏洞危害
攻擊者通過構造惡意檔案,並誘導本地使用者開啟該檔案,可造成wps office軟體程序崩潰,同時造成部分程序資料洩露。
三、修復措施
1、目前,wps官方暫未修復該漏洞,但已向cnnvd反饋修復進度,將於近期發布公升級版本以修復該漏洞,建議受影響使用者密切關注廠商公告或cnnvd**:
2、在該軟體發布公升級版本之前,建議受影響使用者不要用wps檢視來歷不明的檔案。
本報告由cnnvd技術支撐單位—西安四葉草資訊科技****提供支援。
cnnvd將繼續跟蹤上述漏洞的相關情況,及時發布相關資訊。如有需要,可與cnnvd聯絡。
Web安全漏洞
web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...
Redis安全漏洞
redis 預設情況下,會繫結在 0.0.0.0 6379,如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任 ip 訪問等,這樣將會將 redis 服務暴露到公網上,如果在沒有設定密碼認證 一般為空 的情況下,會導致任意使用者在可以訪問目標伺服器的情況下未授權訪問 redis 以及讀取 ...
關於rabbitmq安全漏洞的問題
在我們的很多個專案中都用到了訊息中介軟體,雖然現在有些已經改用了kafka,但是還有相當一部分依然用的是rabbitmq。而最近呢,我們收到了乙份關於安全漏洞掃瞄的文件,說我們的rabbitmq存在著一些安全漏洞問題,既然是有問題,自然是需要整改的,但是看完文件以後,發現這種安全漏洞問題似乎並不是很...