国家计算机网络入侵防范中心安全漏洞周报：2014年10月27日至2014年11月3日，安全漏洞66个，其中高危漏洞12个，中等威胁漏40个，低威胁漏洞14个，安全漏洞总量是上周的1.78 倍。

本次值得关注的漏洞有，[*]Schrack Technik microControl 中存在安全漏洞，受影响的产品，版本早于 1.7.0 (937)，由于没有正确对用户进行认证，允许远程攻击者，通过直接请求的 ZTPUsrDtls.txt，获取访问权限数据的 ftp 和 telnet 服务[*]Microsoft Windows 中存在安全漏洞，受影响的产品，Vista SP2，Windows Server 2008 SP2 和 R2 SP1，Windows 7 SP1，Windows 8，Windows 8.1，Windows Server 2012 Gold 和 R2，以及 Windows RT Gold 和 8.1，由于系统读取攻击者控制的文件，并执行该文件中的任意代码，允许远程攻击者，通过精心构造的 OLE 对象，执行任意代码[*]FreeBSD 中的 rtsold 中存在栈缓冲区溢出，受影响的产品，9.1 至 10.1-RC2，由于对内存缓冲区的创建、修改、管理或删除有误，允许远程攻击者，通过精心构造的 DNS 路由器广告消息中的参数，引起拒绝服务攻击 (破坏) 或者可能执行任意代码[*]GNU Wget 中存在绝对路径遍历漏洞，受影响的产品，版本早于 1.16，由于对输入参数未进行正确的限制，当递归内嵌时，允许远程 FTP 服务利用两个条目，指出文件名的符号链接，写任意文件，以及因此执行任意代码[*]Centreon 2.5.1 和 Centreon Enterprise Server 2.2 中存在多个 SQL 注入漏洞，由于对输入参数未进行正确的限制，允许远程攻击者，通过 (1) index_id 参数到 views/graphs/common/makeXML_ListMetrics.php，(2) sid 参数到 views/graphs/GetXmlTree.php，(3) session_id 参数到 views/graphs/graphStatus/displayServiceStatus.php，(4) mnftr_id 参数到 configuration/configObject/traps/GetXMLTrapsForVendor.php，或者 (5) 索引参数到 include/ 中的，common/javascript/commandGetArgs/cmdGetExample.php 执行任意 SQL命令。

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。