国家计算机网络入侵防范中心安全漏洞周报：2016年1月25日至2016年2月1日，安全漏洞30个，其中高危漏洞7个，中等威胁漏20个，低威胁漏洞3个，安全漏洞总量是上周的38.96% 。

本次值得关注的漏洞有，[*]PHP中的Zend/zend_execute_API.c中的zend_throw_or_error 函数中存在格式化字符串漏洞，受影响的产品，7.x，版本早于7.0.1，由于某些函数中使用了可以从外部控制的格式字符串，允许远程攻击者，通过格式化字符串字符串中的分隔符，作为class名字misused，执行任意代码.[*]Cisco Modular Encoding Platform中存在安全漏洞，受影响的产品，D9036 Software，版本早于02.04.70，由于创建、存储、传输、或保护口令和其他证书失败，允许远程攻击者，通过SSH会话，获取访问权限即错误 IDCSCut88070.[*]Cisco FX-OS中的unspecified CGI script脚本中存在安全漏洞，受影响的产品，版本早于1.1.2 Firepower 9000 devices和Cisco Unified Computing System(UCS) Manager，版本早于2.2(4b)，2.2(5)，版本早于2.2(5a)，以及3.0，版本早于3.0(2e)，由于将用户控制的输入注入到命令行中，允许远程攻击者，通过精心构造的HTTP请求，执行任意 shell 命令，即错误IDCSCur90888。[*]Harman AMX devices中的/bin/bw路径中的 setUpSubtleUserAccount函数中存在安全漏洞，受影响的产品，版本早于2015-10-12，由于创建、存储、传输、或保护口令和其他证书失败，有hardcoded密码的BlackWidow账户，允许远程攻击者，通过(1)SSH或者(2) HTTP会话，获取访问权限。[*]Harman AMX devices 中的/bin/bw 路径中的setUpSubtleUserAccount函数中存在安全漏洞，受影响的产品，版本早于2016-01-20，由于创建、存储、传输、或保护口令和其他证书失败，有hardcoded密码账户的，允许远程攻击者，通过(1) SSH或者(2) HTTP会话，获取访问权限。

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。