国家计算机网络入侵防范中心安全漏洞周报：2015年1月19日至2015年1月26日，安全漏洞155个，其中高危漏洞30个，中等威胁漏104个，低威胁漏洞21个，安全漏洞总量是上周的1.23 倍。

本次值得关注的漏洞有，[*]customization template 中存在安全漏洞 , 受影响的产品, Red Hat CloudForms 3.1 Management Engine (CFME) 5.3, 由于创建、存储、传输、或保护口令和其他证书失败, 当密码没有使用规定的新图像时，会使用默认密码的根账户。允许远程攻击者获得特权。[*]sd2_parse_rsrc_fork 函数中存在安全漏洞 , 受影响的产品, sd2.c in libsndfile, 由于对内存缓冲区的创建、修改、管理或删除有误, 允许攻击者通过 (1) 地图偏移或者 (2) rsrc 标志的向量，来触发越界读操作。[*]Symantec Critical System Protection (SCSP) 中的 management server 中的 Agent Control Interface 中存在安全漏洞 , 受影响的产品, 5.2.9 , 版本早于 MP6 和 Symantec Data Center Security: Server Advanced (SDCS:SA) 6.0.x , 版本早于 6.0 MP1, 由于对输入参数未进行正确的限制, 允许远程认证用户 通过上传日志文件到客户端，执行任意命令。[*]Oracle Java SE 中存在未知的漏洞, 受影响的产品, 8u25, 允许远程攻击者通过未知的向量，影响机密性 , 完整性 , 以及可用性.[*]Oracle Database Server 中的 Core RDBMS component 中存在未知的漏洞, 受影响的产品, 11.1.0.7 , 11.2.0.3 , 11.2.0.4 , 12.1.0.1 , 以及 12.1.0.2, 允许远程认证用户通过未知向量，影响机密性 , 完整性 , 以及可用性.

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。