漏洞描述

CVE 编号

漏洞名称

描述

CVE-2014-3466

GnuTLS 'gnutls_handshake.c'内存破坏漏洞

GnuTLS解析TLS/SSL握手server hello报文的会话ID时存在安全漏洞，恶意服务器可利用该漏洞发送超长会话ID值，使使用GnuTLS的TLS/SSL客户端发生缓冲区溢出，可使应用程序崩溃或执行任意代码。
漏洞存在于read_server_hello() / _gnutls_read_server_hello()函数，仅仅检查session_id_le是否超过接收报文的大小，而没有检查是否超过会话id长度。

CVE-2014-0221

OpenSSL dtls1_get_message_fragment函数拒绝服务漏洞

OpenSSL 0.9.8za、1.0.0m、1.0.1h之前版本，d1_both.c内的dtls1_get_message_fragment函数存在安全漏洞，远程攻击者通过无效DTLS握手内的DTLS问候消息，利用此漏洞可造成拒绝服务（循环和客户端崩溃）。

CVE-2014-0224

OpenSSL SSL/TLS 中间人漏洞

OpenSSL部分版本没有正确处理ChangeCipherSpec消息，攻击者能够用使用一个精心构造的握手数据包迫使OpenSSL/TLS 客户端和服务端使用弱密钥通讯。攻击者通过中间人攻击来利用这个漏洞，将能够解密并修改被攻击的client和server之间的通讯，从而获取敏感信息。
执行这个攻击需要client和server都存在漏洞。所有版本的OpenSSL客户端都是存在漏洞的，而服务端只有OpenSSL 1.0.1和1.0.2-beta1受影响。另为预防起见，建议还在使用版本小于1.0.1 OpenSSL 服务端的用户升级。

CVE-2014-4063

Microsoft Internet Explorer 内存破坏漏洞

 Microsoft Internet Explorer存在一个未明内存错误，允许远程攻击者构建恶意WEB页，诱使用户解析，可以应用程序上下文执行任意代码。

CVE-2014-4057

Microsoft Internet Explorer内存破坏漏洞

 Internet Explorer 6, 7, 8, 9, 10, 11版本不正确地访问内存中的对象时，存在远程执行代码漏洞。这些漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。 

CVE-2014-4050

Microsoft Internet Explorer内存破坏漏洞

Internet Explorer 6, 7, 8, 9, 10, 11版本不正确地访问内存中的对象时，存在远程执行代码漏洞。这些漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。 

CVE-2014-3914

Rocket Servergraph命令执行漏洞

 Rocket Servergraph userRequest servlet存在安全漏洞，当Servlet处理save_server_groups命令时可注入任意操作系统命令，允许攻击者执行任意命令在文件系统中读或写或删除任意文件从文件系统。

CVE-2014-3434

Symantec Endpoint Protection本地客户端ADC特权提升漏洞

Symantec Endpoint Protection是一款为增强企业病毒防护与高级威胁防御能力而开发的防护软件。
Symantec Endpoint Protection处理IOCTL 0x00222084时本地客户端应用和设备控制存在边界错误，可触发一个内核池溢出，执行任意代码。