CISA 漏洞目录 再加 几个安全漏洞

请浏览 Security Affairs 的网站以获取相关信息，美国网络安全和基础设施安全局（CISA）在其已知被利用的漏洞目录中增加了几个新安全漏洞。

CVE-2014-0196：Linux 内核在 n_tty_write 函数中包含一个竞争条件漏洞，该漏洞可能会允许大量的本地用户通过长连接数字符串的读写操作，从而造成用户拒绝服务或获得不必要的特权；

CVE-2010-3904：Linux 内核在可靠数据报接字（RDS）协议实现中包含一个不正确的输入验证漏洞，该漏洞允许本地用户通过精心使用 sendmsg 和 recvmsg 系统调用来获得权限；

CVE-2016-8735：Apache Tomcat 中存在一个远程代码执行漏洞，远程攻击者可利用该漏洞执行任意代码。一旦攻击者使用 JmxRemoteLifecycleListener 并且获得访问 Java 管理扩展（JMX）端口的权限，就可以轻松利用该漏洞，执行远程代码。受影响版本包括 Apache Tomcat 6.0.48 之前的版本，7.0.73 之前的7.x版本，8.0.39 之前的 8.x 版本，8.5.7 之前的 8.5.x 版本，9.0.0.M12 之前的 9.x 版本。

根据约束性操作指令（BOD）22-01的要求，所有联邦民事行政部门机构(FCEB)在被添加到 CISA 的已知利用漏洞(KEV)目录后，必须在到期日前解决已识别的漏洞，保护其系统免受此安全漏洞的影响，降低已知被利用漏洞的重大风险。此外，网络安全专家建议私营组织也应该审查 CISA 目录中的漏洞，并解决其基础设施中存在的漏洞。据了解，cisa是美国国家安全局(nsa)的一个分支机构，负责维护美国国家安全局(nsa)的网络安全。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!