CISA 漏洞目录 再加 几个安全漏洞
请浏览 Security Affairs 的网站以获取相关信息,美国网络安全和基础设施安全局(CISA)在其已知被利用的漏洞目录中增加了几个新安全漏洞。 CVE-2014-0196:Linux 内核在 n_tty_write 函数中包含一个竞争条件漏洞,该漏洞可能会允许大量的本地用户通过长连接数字符串的读写操作,从而造成用户拒绝服务或获得不必要的特权; CVE-2010-3904:Linux 内核在可靠数据报接字(RDS)协议实现中包含一个不正确的输入验证漏洞,该漏洞允许本地用户通过精心使用 sendmsg 和 recvmsg 系统调用来获得权限; CVE-2016-8735:Apache Tomcat 中存在一个远程代码执行漏洞,远程攻击者可利用该漏洞执行任意代码。一旦攻击者使用 JmxRemoteLifecycleListener 并且获得访问 Java 管理扩展(JMX)端口的权限,就可以轻松利用该漏洞,执行远程代码。受影响版本包括 Apache Tomcat 6.0.48 之前的版本,7.0.73 之前的7.x版本,8.0.39 之前的 8.x 版本,8.5.7 之前的 8.5.x 版本,9.0.0.M12 之前的 9.x 版本。 根据约束性操作指令(BOD)22-01的要求,所有联邦民事行政部门机构(FCEB)在被添加到 CISA 的已知利用漏洞(KEV)目录后,必须在到期日前解决已识别的漏洞,保护其系统免受此安全漏洞的影响,降低已知被利用漏洞的重大风险。此外,网络安全专家建议私营组织也应该审查 CISA 目录中的漏洞,并解决其基础设施中存在的漏洞。据了解,cisa是美国国家安全局(nsa)的一个分支机构,负责维护美国国家安全局(nsa)的网络安全。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |