国家计算机网络入侵防范中心安全漏洞周报：2014年8月4日至2014年8月11日，安全漏洞72个，其中高危漏洞18个，中等威胁漏46个，低威胁漏洞8个，安全漏洞总量是上周的66.67% 。

本次值得关注的漏洞有，[*]Yealink VoIP Phone SIP-T38G 中的 cgi-bin/cgiServer.exx 中存在安全漏洞 , 由于将用户控制的输入注入到命令行中, 允许远程认证用户执行任意命令 , 即由运行未授权 services 所展示的 , 改变目录许可 , 以及修改文件[*]Splunk 中的 collect script 中存在目录遍历漏洞, 受影响的产品, 版本早于 5.0.5, 由于对输入参数未进行正确的限制, 允许远程攻击者 , 通过文件参数中的 .. (dot dot) , 执行任意命令[*]Splunk 中的 "runshellscript echo.sh" script 中存在安全漏洞 , 受影响的产品, 版本早于 5.0.5, 由于系统读取攻击者控制的文件，并执行该文件中的任意代码, 允许远程认证用户 , 通过精心构造的字符串, 执行任意命令[*]Rocket ServerGraph 1.2 中的 Tivoli Storage Manager (TSM) 上的 Admin Center 中存在目录遍历漏洞, 由于对输入参数未进行正确的限制, 允许远程攻击者 , 通过 fileRequestServlet 小型服务程序中的 del 操作 , 创建任意文件 , 通过 .. (dot dot) , 执行任意文件[*]Sphider 中的 admin/admin.php 中存在多个 SQL 注入漏洞, 受影响的产品, 1.3.6 和更早版本 , Sphider Pro , 以及 Spider-plus, 由于对输入参数未进行正确的限制, 允许远程攻击者 , 通过 (1) site_id 或者 (2) url 参数, 执行任意 SQL命令针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。