国家计算机网络入侵防范中心安全漏洞周报：2013年04月22日至2013年05月05日，安全漏洞共计有142个，其中高危漏洞39个，中等威胁漏洞92个，低威胁漏洞11个，安全漏洞总量与上周相比有所下降。本周值得关注的漏洞有：Opera浏览器被发现存在未指明漏洞;VMware公司的vCenter Server Appliance (vCSA)产品被发现存在权限获取漏洞和任意代码执行漏洞;Cisco 公司的 Unified Computing System (UCS) 被发现存在安全绕过漏洞、 缓冲区溢出漏洞 权限获取漏洞等。以上漏洞被攻击者利用可能会执行任意代码、引起拒绝服务或造成未知影响，影响用户信息的机密性、完整性、可用性。会影响信息的机密性、完整性、可用性，威胁用户隐私安全。建议用户及时下载或关注更新，做好安全防护。

本周比较值得关注的漏洞有Cisco公司公布了Unified Computing System (UCS) 1.0(2h) 之前版本，1.1(1j) 之前的 1.1 版本，和 1.3(x) 版本中的 Manager 组件里 Web 控制台的登录页面存在安全绕过漏洞，允许远程攻击者通过恶意请求，绕过LDAP 认证，或允许远程攻击者通过读取(1)技术支持包文件 或(2)适用各种设备的系统认证备份,即可获取敏感权限。同时，其 Manager 组件中 Intelligent Platform Management Interface (IPMI) 功能存在缓冲区溢出漏洞，允许远程攻击者通过 UDP数据包中的恶意数据即可执行任意代码。

此外，VMware公司的vCenter Server Appliance (vCSA) Update 1 之前的 5.1 版本，允许远程认证用户通过利用 Virtual Appliance Management Interface (VAMI) 访问，获取根权限，即可创建或重写任意文件，并可以执行任意代码、程序或引起拒绝服务。

开源VPN解决方案tinc被发现存在缓冲区溢出漏洞，tinc 1.0.21 之前版本和 1.1pre7 之前的 1.1 版本中的 net_packet.c 里的 receive_tcppacket 函数存在基于栈的缓冲区溢出漏洞，允许远程认证同等设备通过一个大TCP数据包，即可引起拒绝服务(崩溃)或可能执行任意代码。

针对上述漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时下载安装更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。