升級包下載鏈接：BDSEC_n_upgrade_package_2020-10-19.zip

新增800+插件:

CVE-2018-1286:    
Apache OpenMeetings是美國阿帕奇（Apache）軟件基金會所研發(fā)的一套多語言可定制的視頻會議和協(xié)作系統(tǒng)，它支持音頻、視頻并允許用戶查看每個與會者的桌面等. Apache OpenMeetings 3.0.0版本至4.0.1版本中存在安全漏洞.攻擊者可利用該漏洞造成拒絕服務.

CVE-2020-9968:    Apple tvOS是美國蘋果（Apple）公司的一套智能電視操作系統(tǒng)。
    Apple TV 4K 和 Apple TV HD 存在安全漏洞，該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未正確限制來自未授權角色的資源訪問。
CVE-2020-9973:    Apple iOS是美國蘋果（Apple）公司的一套為移動設備所開發(fā)的操作系統(tǒng)。
    Apple iOS 存在安全漏洞，該漏洞源于通過改進的邊界檢查解決了一個越界寫入問題。攻擊者可利用該漏洞可能會導致意外的系統(tǒng)終止或寫入內核內存。以下產(chǎn)品及版本受到影響：iPhone 6s版本及以后，iPod touch第7代版本，iPad Air 2版本及以后，iPad mini 4版本及以后。

CVE-2020-9961:
Apple macOS是美國蘋果（Apple）公司的一套專為Mac計算機所開發(fā)的專用操作系統(tǒng). Apple macOS中存在安全漏洞.
CVE-2020-9968:    Apple tvOS是美國蘋果（Apple）公司的一套智能電視操作系統(tǒng)。
    Apple TV 4K 和 Apple TV HD 存在安全漏洞，該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未正確限制來自未授權角色的資源訪問。
CVE-2020-9973:    Apple iOS是美國蘋果（Apple）公司的一套為移動設備所開發(fā)的操作系統(tǒng)。
    Apple iOS 存在安全漏洞，該漏洞源于通過改進的邊界檢查解決了一個越界寫入問題。攻擊者可利用該漏洞可能會導致意外的系統(tǒng)終止或寫入內核內存。以下產(chǎn)品及版本受到影響：iPhone 6s版本及以后，iPod touch第7代版本，iPad Air 2版本及以后，iPad mini 4版本及以后。

CVE-2020-15169:    ActionView是一套開源的問題需求跟蹤工具。該產(chǎn)品支持權限配置、統(tǒng)計報表、文檔分享和工作日志等功能。
    ActionView 5.2.4.4版本之前和6.0.3.3版本存在跨站腳本漏洞，該漏洞源于WEB應用未充分驗證請求是否來自可信用戶。攻擊者可利用該漏洞通過受影響客戶端向服務器發(fā)送非預期的請求。
CVE-2020-8162:    Ruby on Rails是Rails團隊的一套基于Ruby語言的開源Web應用框架。
    Ruby on Rails 5.2.4.2之前版本和6.0.3.1之前版本中存在安全漏洞。攻擊者可通過修改文件上傳URL的‘Content-Length’字段利用該漏洞繞過服務器上對上傳文件大小的控制。
CVE-2020-8164:    Ruby on Rails是Rails團隊的一套基于Ruby語言的開源Web應用框架。
    Ruby on Rails 5.2.4.3之前版本和6.0.3.1之前版本中存在代碼問題漏洞。攻擊者可利用該漏洞獲取信息。
CVE-2020-8165:    Ruby on Rails是Rails團隊的一套基于Ruby語言的開源Web應用框架。
    Ruby on Rails 5.2.5之前版本和6.0.4之前版本中存在代碼問題漏洞。攻擊者可利用該漏洞將不受信任的Ruby對象注入到Web應用程序，執(zhí)行代碼或造成其他危害。
CVE-2020-8166:    Ruby on Rails是Rails團隊的一套基于Ruby語言的開源Web應用框架。
    Ruby on Rails 5.2.5之前版本和6.0.4之前版本中存在跨站請求偽造漏洞。該漏洞源于WEB應用未充分驗證請求是否來自可信用戶。攻擊者可利用該漏洞通過受影響客戶端向服務器發(fā)送非預期的請求。
CVE-2020-8167:    Ruby on Rails是Rails團隊的一套基于Ruby語言的開源Web應用框架。
    Ruby on Rails 6.0.3及之前版本中存在跨站請求偽造漏洞。該漏洞源于WEB應用未充分驗證請求是否來自可信用戶。攻擊者可利用該漏洞通過受影響客戶端向服務器發(fā)送非預期的請求。

CVE-2020-5238:
GitHub Flavored Markdown是美國GitHub公司的一款使用在C語言中的CommonMark解析和渲染庫. GitHub Flavored Markdown 0.29.0.gfm.1之前版本中存在輸入驗證錯誤漏洞.該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未對輸入的數(shù)據(jù)進行正確的驗證.

CVE-2020-24977:
libxml2是一款使用C語言編寫的用于解析XML文檔的函數(shù)庫. libxml2 v2.9.10和更早版本的libxml2/entities.c的xmlEncodeEntitiesInternal中存在緩沖區(qū)溢出漏洞，該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品在內存上執(zhí)行操作時，未正確驗證數(shù)據(jù)邊界，導致向關聯(lián)的其他內存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導致緩沖區(qū)溢出或堆溢出等.

CVE-2020-25602:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14及之前版本存在安全漏洞。該漏洞源于MSR MISC啟用觸發(fā)致命錯誤，攻擊者可利用該漏洞觸發(fā)拒絕服務。
CVE-2020-25598:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在安全漏洞。攻擊者可利用該漏洞通過XENMEM獲取Xen資源來觸發(fā)一個活鎖，從而在主機系統(tǒng)上觸發(fā)拒絕服務。
CVE-2020-25604:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在安全漏洞。該漏洞源于定時器觸發(fā)一個致命錯誤。攻擊者可利用該漏洞拒絕服務的主機系統(tǒng)。
CVE-2020-25595:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在安全漏洞。該漏洞源于Xen的MSI處理中的代碼路徑已經(jīng)被識別出來，這些代碼路徑作用于從設備硬件寄存器讀回的未消毒的值。雖然嚴格符合PCI規(guī)范的設備不應該影響這些寄存器，但設備有超出規(guī)范的后門操作。
CVE-2020-25597:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在安全漏洞。該漏洞源于事件通道未轉為無效時的錯誤引起的。攻擊者可以利用該漏洞導致主機崩潰。
CVE-2020-25596:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在安全漏洞。攻擊者可利用該漏洞通過SYSENTER的x86 pv guest虛擬機內核DoS。
CVE-2020-25603:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在安全漏洞。該漏洞源于在訪問/分配事件通道時缺少內存屏障。
CVE-2020-25600:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在緩沖區(qū)錯誤漏洞。該漏洞源于32位x86域的越界事件通道的可用性造成的。攻擊者可利用該漏洞在整個系統(tǒng)上導致拒絕服務。
CVE-2020-25599:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在安全漏洞，該漏洞源于EVTCHNOP reset or XEN DOMCTL soft reset違反各種內部假設，從而導致超出范圍的內存訪問或觸發(fā)錯誤檢查。攻擊者可利用該漏洞拒絕服務（DoS）。
CVE-2020-25601:    Xen是英國劍橋大學的一款開源的虛擬機監(jiān)視器產(chǎn)品。該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上，并支持在運行時進行遷移，保證正常運行并且避免宕機。
    Xen 4.14版本及之前版本中存在代碼問題漏洞。該漏洞源于evtchn_reset() / evtchn_destroy()。

RG UAC  優(yōu)化RG 第二代UAC標準化策略
SANGFOR SSLVPN   sangfor_sslvpn 標準化優(yōu)化及原始日志
Sangfor NGAF(UTF-8)   優(yōu)化Sangfor NGAF標準化策略
QingTengYun(Tencent_UTF8)   青藤云子類修改
Topsec Nac(UTF8)   新增Topsec NAC標準化策略
Legendsec Gap  網(wǎng)神安全隔離與信息交換系統(tǒng)-標準化策略（奇安信、網(wǎng)神、360）網(wǎng)閘
Secfox Fortress  網(wǎng)神secfox運維安全管理與審計系統(tǒng)-標準化策略（奇安信、網(wǎng)神、360
HillStone Firewall E   Hillstone Fiewall-E
HillStone IPS   Hillstone ips
HillStone Firewall  Hillstone fw
Topsec Firewall(UTF8)   優(yōu)化Topsec Firewall(UTF-8)標準化策略
Huawei USG9310   優(yōu)化Huawei USG9310標準化策略
SkyEye(Tencent_UTF8)  Skyeye 原始日志修復
NetEye NABH  優(yōu)化NetEye NABH標準化策略
Linux  優(yōu)化Linux標準化策略
NetEye NASM8000   新增NetEye NASM8000標準化策略
安全事件上報，標準化策略更新
Topsec Audit 新增Topsec Audit
Sangfor AC  優(yōu)化-sangfor AC-標準化策略（深信服AC）
Nginx    優(yōu)化Nginx標準化策略
SURF RAG A   新增-SURF RAG-A -標準化策略（任子行上網(wǎng)行為管理）
SURF DF  新增-SURF DF -標準化策略（任子行數(shù)據(jù)庫審計）
SURF NGSA    優(yōu)化-SURF NGSA -標準化策略（任子行下一代防火墻）