国家计算机网络入侵防范中心安全漏洞周报：2015年3月23日至2015年3月30日，安全漏洞99个，其中高危漏洞36个，中等威胁漏53个，低威胁漏洞10个，安全漏洞总量是上周的1.18 倍。

本次值得关注的漏洞有，[*]MetalGenix GeniXCMS 中存在多个 SQL 注入漏洞，受影响的产品，版本早于 0.0.2，由于对输入参数未进行正确的限制，允许远程攻击者，通过 (1) 页参数到 index.php 或者 (2) 用户名参数到 gxadmin/login.php，执行任意 SQL命令[*]IBM General Parallel File System (GPFS) 中存在安全漏洞，受影响的产品，3.4，版本早于 3.4.0.32，3.5，版本早于 3.5.0.24，以及 4.1，版本早于 4.1.0.7 @in certain cipherList configurations，由于没有正确对用户进行认证，允许远程攻击者，通过未知的向量，绕过认证和执行任意作为根程序[*]SolarWinds Firewall Security Manager (FSM) 中存在安全漏洞，受影响的产品，版本早于 6.6.5 HotFix1，由于没有对资源进行正确的访问限制，或权限管理有误，允许远程攻击者，通过未知的向量，获得特权和执行任意代码关于客户端会话处理的[*]Cisco IOS 中的 Autonomic Networking Infrastructure (ANI) 中存在安全漏洞，受影响的产品，12.2，12.4，15.0，15.2，15.3，以及 15.4 和 IOS XE 3.10.xS 至 3.13.xS，版本早于 3.13.1S，由于对输入参数未进行正确的限制，允许远程攻击者，通过精心构造的消息，欺骗 Autonomic 网络 Registration Authority (ANRA) 响应，以及因此绕过有意的设备和 node 访问权限限制或者引起拒绝服务攻击 (disrupted 域 access)，即错误 IDCSCup62191[*]Cisco IOS 中存在安全漏洞，受影响的产品，12.2，12.4，15.0，15.2，以及 15.3，由于对输入参数未进行正确的限制，当 vrf 接口配置时，允许远程攻击者，通过精心构造的 ICMPv4 数据包，引起拒绝服务攻击 (interface queue wedge) 即错误 IDCSCsi02145。

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。