国家计算机网络入侵防范中心安全漏洞周报：2015年11月30日至2015年12月7日，安全漏洞29个，其中高危漏洞24个，中等威胁漏5个，低威胁漏洞0个，安全漏洞总量是上周的50.88% 。

本次值得关注的漏洞有，[*]Siemens SIMATIC中存在安全漏洞，受影响的产品，CP 343-1 Advanced devices，版本早于3.0.44，CP 343-1 Lean devices，CP 343-1 devices，TIM 3V-IE devices，TIM 3V-IE Advanced devices，TIM 3V-IE DNP3 devices，TIM 4R-IE devices，TIM 4R-IE DNP3 devices，CP 443-1 devices，以及CP 443-1 Advanced devices，由于没有对资源进行正确的访问限制，或权限管理有误，允许远程攻击你者，通过TCP 102端口，会话获取管理访问权限.[*]PCRE中存在安全漏洞，受影响的产品，版本早于8.38，由于对内存缓冲区的创建、修改、管理或删除有误，允许远程攻击者，通过精心构造的正则表达式(regular expressions)表达，引起拒绝服务攻击(buffer overflow)或者可能有未知的其它影响.[*]PCRE中的pcre_compile函数中存在安全漏洞，受影响的产品，版本早于8.38，由于对内存缓冲区的创建、修改、管理或删除有误，允许远程攻击者，通过精心构造的正则表达式(regular expressions)表达，引起拒绝服务攻击(CPU破坏) 或者可能有未知的其它影响.[*]McAfee ESM\ESMLM\ESMREC中存在安全漏洞，受影响的产品，9.3.x，版本早于9.3.2MR19，9.4.x，版本早于9.4.2MR9@，以及9.5.x，版本早于9.5.0MR8，由于将用户控制的输入注入到命令行中，当配置使用激活目录或者LDAP认证源时，允许远程攻击者，通过利用用户名 "NGCP|NGCP|NGCP " 和任何密码登录，绕过认证.[*]Debian build procedure中存在安全漏洞，受影响的产品，@in wheezy，版本早于2.6.8-2+deb7u1和jessie，版本早于2.6.9-1+deb8u1，不合适的Apache httpd传送参数smokeping_cgi配置，允许远程攻击者，通过精心构造的CGI参数，执行任意代码。

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。