標準化升級包

標準化更新-BDSEC_upgrade_package_2021-04

來源:聚銘網(wǎng)絡    發(fā)布時間:2021-04-19    瀏覽次數(shù):
 

升級包下載鏈接:SP_001_n_upgrade_package_2021-04-15.zip


新增H3C Firewall-V5標準化解析策略
茂名電信-優(yōu)化Amaranten Router標準化策略
優(yōu)化-linux-標準化策略-(redhat)
優(yōu)化-gitlab-標準化策略-(gitlab)
新增H3C Firewall-V7標準化解析策略
優(yōu)化-NSFOCUS SAS-標準化策略-(綠盟日志)
新增Huawei NE40E(TZ)標準化策略
優(yōu)化-sangfor edr-標準化策略-(深信服EDR)
優(yōu)化SANGFOR NGAF標準化
優(yōu)化Amaranten Router標準化策略
優(yōu)化Sangfor AD標準化解析策略
優(yōu)化-sangfor ac-(深信服AC)
優(yōu)化-NSFocus NIPS-(綠盟NIPS)
新增-KOAL-NDS-(格爾網(wǎng)絡安全檢測平臺)
新增DBapp APT 標準化策略
新增-huawei AntiDDoS8030-(華為ddos防御系統(tǒng))
新增-lanysec LanyEye-(蘭云科技 蘭眼BDS)
優(yōu)化-windows和中間件日志識別-windows和Tomcat
優(yōu)化Venustech IDS標準化策略


新增基線麒麟操作系統(tǒng)
優(yōu)化基線
更新插件
CVE-2021-0326 wpa_supplicant是一款跨平臺的WPA請求程序.該程序支持WEP、WPA和WPA2等. wpa_supplicant 存在緩沖區(qū)錯誤漏洞,該漏洞可能使本地惡意應用程序繞過用戶交互要求,以訪問其他權限.
CVE-2021-1844 Apple Safari是美國蘋果(Apple)公司的一款Web瀏覽器,是Mac OS X和iOS操作系統(tǒng)附帶的默認瀏覽器. Safari 14.0.3 存在安全漏洞, Safari在處理攻擊者發(fā)送的惡意Web內(nèi)容時可能導致任意代碼執(zhí)行.
CVE-2021-2011 Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數(shù)據(jù)庫管理系統(tǒng). Oracle MySQL 的 MySQL Client 存在安全漏洞,該漏洞允許未經(jīng)身份驗證的攻擊者過多種協(xié)議進行網(wǎng)絡訪問,從而危害MySQL客戶端.以下產(chǎn)品及版本受到影響:MySQL Client--C API--5.7.32 and prior, 8.0.22 and prior.
CVE-2021-20179 pki-core是一款為PKI操作提供API的庫. pki-core 存在安全漏洞,攻擊者可利用該漏洞可以反復更新相應的證書,只要證書沒有被顯式撤銷.
CVE-2021-20205 DRC libjpeg-turbo是 DRC開源的一個應用軟件.提供一個JPEG圖像編解碼器,它使用SIMD指令來加速x86,x86-64,Arm,PowerPC和MIPS系統(tǒng)上的基線JPEG壓縮和解壓縮,以及x86,x86-64和Arm系統(tǒng)上的漸進JPEG壓縮. Libjpeg-turbo versions 2.0.91 and 2.0.90 存在安全漏洞,該漏洞源于在處理精心制作的GIF圖像時除以0造成的.
CVE-2021-20270 Red Hat Ansible Automation是 (Red Hat)開源的一個應用軟件.提供一個自動化基礎架構的各個方面,從服務器和網(wǎng)絡設備到操作系統(tǒng),應用程序和安全性. Red Hat Ansible Automation 存在安全漏洞,該漏洞源于無限循環(huán)可能導致DoS.
CVE-2021-20285 Fedora是Fedora社區(qū)的一套Linux操作系統(tǒng). Fedora 存在緩沖區(qū)錯誤漏洞,攻擊者可利用該漏洞可以通過canPack()觸發(fā)內(nèi)存損壞,以觸發(fā)拒絕服務,并可能運行代碼.
CVE-2021-21252 jQuery是美國John Resig個人開發(fā)者的一套開源、跨瀏覽器的JavaScript庫.該庫簡化了HTML與JavaScript之間的操作,并具有模塊化、插件擴展等特點. jQuery 1.19.3版本之前存在資源管理錯誤漏洞,該漏洞源于jquery驗證包含一個或多個正則表達式,這些正則表達式容易受到ReDoS(正則表達式拒絕服務)的攻擊.
CVE-2021-21300 Microsoft Visual Studio是美國微軟(Microsoft)公司的一款開發(fā)工具套件系列產(chǎn)品,也是一個基本完整的開發(fā)工具集,它包括了整個軟件存活周期中所需要的大部分工具.Git for Visual Studio是其中的一個Git(分布式版本控制系統(tǒng))擴展. Git for Visual Studio 存在安全漏洞.以下產(chǎn)品和版本受到影響:Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8),Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3),Microsoft Visual Studio 2019 version 16.7 (includes 16.0 – 16.6),Microsoft Visual Studio 2019 version 16.9 (includes 16.0 - 16.8),Microsoft Visual Studio 2019 version 16.8 (includes 16.0 - 16.7).
CVE-2021-21330 aiohttp before version 3.7.4 存在安全漏洞,該漏洞源于一個開放的重定向漏洞.惡意制作的指向會將瀏覽器重定向到另一個網(wǎng)站.
CVE-2021-21334 containerd是美國阿帕奇(Apache)基金會的一個容器守護進程.該進程根據(jù) RunC OCI 規(guī)范負責控制宿主機上容器的完整周期. 
containerd before versions 1.3.10 and 1.4.4 存在安全漏洞,該漏洞允許共享敏感信息.
CVE-2021-21340 TYPO3是瑞士TYPO3(Typo3)協(xié)會的一套免費開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 Core 存在跨站腳本漏洞,該漏洞源于內(nèi)容預覽渲染器組件中對用戶提供的數(shù)據(jù)的處理不足.
CVE-2021-21358 TYPO3是瑞士TYPO3(Typo3)協(xié)會的一套免費開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 存在跨站腳本漏洞,該漏洞源于表單設計器后端模塊中對用戶提供的數(shù)據(jù)的處理不足.
CVE-2021-21359 TYPO3是瑞士TYPO3(Typo3)協(xié)會的一套免費開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 Core 存在安全漏洞,該漏洞允許遠程攻擊者執(zhí)行拒絕服務(DoS)攻擊.
CVE-2021-21367 DanielForé switchboard-plug-bluetooth是 (DanielForé)開源的一個應用軟件.一個配電盤藍牙插頭. Switchboard Bluetooth 存在安全漏洞,攻擊者很可能能夠未經(jīng)授權從此類服務中提取數(shù)據(jù).
CVE-2021-21370 TYPO3是瑞士TYPO3(Typo3)協(xié)會的一套免費開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 Core 存在跨站腳本漏洞,該漏洞源于內(nèi)容預覽渲染器組件中對用戶提供的數(shù)據(jù)的處理不足.
CVE-2021-21379 Xwiki Platform是法國Xwiki公司的一套用于創(chuàng)建Web協(xié)作應用程序的Wiki平臺. XWiki Platform 存在注入漏洞,該漏洞源于wiki宏作者的權限執(zhí)行內(nèi)容,而不是以該wiki宏的調(diào)用者的權限執(zhí)行內(nèi)容.
CVE-2021-21380 Thomas Mortagne xwiki-platform是Thomas Mortagne開源的一個應用程序.一個通用的Wiki平臺,為基于其構建的應用程序提供運行時服務. XWiki Platform 存在SQL注入漏洞,該漏洞源于評級腳本服務公開一個API來執(zhí)行SQL請求,而不需要轉義搜索參數(shù).
CVE-2021-21381 Flatpak是一套用于Linux桌面應用計算機環(huán)境的應用程序虛擬化系統(tǒng). Flatpak 存在安全漏洞,攻擊者可利用該漏洞訪問應用程序權限通常不允許的文件.
CVE-2021-21389 BuddyPress 7.2.1 存在安全漏洞,該漏洞源于非特權的普通用戶可以通過利用REST API成員端點中的問題獲得管理員權限.
CVE-2021-21438 OTRS是德國 (OTRS)公司的一個應用軟件.一個服務管理軟件. OTRS 存在安全漏洞,該漏洞源于在沒有許可的情況下查看鏈接的FAQ文章.
CVE-2021-21772 Martin Weismann lib3mf是 Martin Weismann開源的一個應用軟件.提供3MF讀寫功能,以及用于輸入和輸出數(shù)據(jù)的轉換和驗證工具. 3MF Consortium lib3mf 2.0.0 存在資源管理錯誤漏洞,攻擊者可利用該漏洞提交惡意文件.
CVE-2021-22134 Elasticsearch是荷蘭Elasticsearch公司的一套基于Lucene構建的開源分布式RESTful搜索引擎.該產(chǎn)品主要應用于云計算,并支持通過HTTP使用JSON進行數(shù)據(jù)索引.Security是其中的一個數(shù)據(jù)保護組件. Elasticsearch 存在信息泄露漏洞,攻擊者可利用該漏洞可以通過Elasticsearch最近更新的文檔繞過對數(shù)據(jù)的訪問限制,以獲取敏感信息.
CVE-2021-22309 Huawei USG9500等都是中國華為(Huawei)公司的產(chǎn)品.USG9500是一款數(shù)據(jù)中心防火墻產(chǎn)品.Huawei USG9520是一款應用于大型環(huán)境的防火墻設備.Huawei USG9560是一款應用于大型環(huán)境的防火墻設備. 多款華為產(chǎn)品存在信息泄露漏洞.攻擊者通過暴力破解可獲得敏感信息,造成信息泄露.以下產(chǎn)品及型號受到影響:USG9500,Huawei USG9580,Huawei USG9560,Huawei USG9520
CVE-2021-22310 Huawei NIP6300等都是中國華為(Huawei)公司的產(chǎn)品.Huawei NIP6300是一款主要適用于企業(yè)、學校、運行商、IDC的入侵防御系統(tǒng).Huawei NIP6600是一款主要適用于企業(yè)、學校、運行商、IDC的入侵防御系統(tǒng).Huawei Secospace USG6300是一款防火墻設備. 多款華為產(chǎn)品存在信息泄露漏洞.該漏洞源于不合理設計,在某個特殊異常場景下,服務器日志會打印出一些具體的不合理信息,存在可能導致信息泄露風險.以下產(chǎn)品及型號受到影響:Huawei NIP6300,Huawei NIP6600,Huawei Secospace USG6300,Huawei Secospace USG6500,Huawei Secospace USG6600.
CVE-2021-22320 Huawei NGFW Module等都是中國華為(Huawei)公司的產(chǎn)品.NGFW Module是一款下一代防火墻(NGFW)模塊.USG6600是一款數(shù)據(jù)中防火墻產(chǎn)品.Secospace USG6600是一款下一代防火墻產(chǎn)品. Huawei 多款產(chǎn)品存在安全漏洞,該漏洞源于不能正確處理特定的消息.以下產(chǎn)品及版本受到影響:IPS Module, NGFW Module, NIP6600, NIP6800, Secospace USG6300, Secospace USG6500 and Secospace USG6600.
CVE-2021-22321 Huawei S2700等都是中國華為(Huawei)公司的產(chǎn)品.S2700是一款企業(yè)級交換機產(chǎn)品.USG9500是一款數(shù)據(jù)中心防火墻產(chǎn)品.USG6600是一款數(shù)據(jù)中防火墻產(chǎn)品. Huawei 多款產(chǎn)品存在安全漏洞,攻擊者可利用該漏洞執(zhí)行惡意操作,導致內(nèi)存閑置后使用,影響正常服務.以下產(chǎn)品及版本收到影響:NIP6300, NIP6600, NIP6800, S1700, S2700, S5700, S6700 , S7700, S9700, Secospace USG6300, Secospace USG6500, Secospace USG6600 and USG9500.
CVE-2021-22880 PostgreSQL是Postgresql組織的一套自由的對象關系型數(shù)據(jù)庫管理系統(tǒng).該系統(tǒng)支持大部分SQL標準并且提供了許多其他特性,例如外鍵、觸發(fā)器、視圖等. PostgreSQL中存在資源管理錯誤漏洞,該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品對系統(tǒng)資源(如內(nèi)存、磁盤空間、文件等)的管理不當.
CVE-2021-23336 yed是Yworks的一款優(yōu)秀的繪圖軟件.該產(chǎn)品可以快速的根據(jù)數(shù)據(jù)生成高質(zhì)量圖表,并且可以通過模板算法根據(jù)數(shù)據(jù)自動生成圖表. 
cpython 存在環(huán)境問題漏洞,攻擊者可利用該漏洞可以使用分號(;)分隔查詢參數(shù),導致惡意請求被緩存為完全安全的請求.以下產(chǎn)品及版本受到影響:before 3.6.13, from 3.7.0 and before 3.7.10, from 3.8.0 and before 3.8.8, from 3.9.0 and before 3.9.2.
CVE-2021-23351 Pires go-proxyproto是 (Pires)開源的一個應用軟件.提供一種安全的方式,可以跨NAT或TCP代理的多層安全地傳輸連接信息功能. github.com/pires/go-proxyproto before 0.5.0 存在安全漏洞,該漏洞源于在代碼中沒有實現(xiàn)限制,V1 header可以使用此代碼耗盡服務器進程中的內(nèi)存,并創(chuàng)建一個DoS.
CVE-2021-23358 Npm underscore是美國Npm公司的一個應用程序.一個JavaScript的實用程序帶庫,可為常見的可疑功能提供支持,而無需擴展任何核心JavaScript對象. underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1存在安全漏洞,攻擊者可利用該漏洞容易通過模板函數(shù)執(zhí)行任意代碼.
CVE-2021-23980 Python Bleach是一款基于Python的HTML清理庫. Python Bleach 存在跨站腳本漏洞,攻擊者可利用該漏洞可以觸發(fā)跨站點腳本,以便在網(wǎng)站上下文中運行JavaScript代碼.
CVE-2021-24130 Wordpress WP Google Map是 (Wordpress)開源的一個應用插件.提供一個將自定義的Google地圖或商店定位器快速輕松地添加到WordPress帖子和,或頁面中功能. WordPress WP Google Map plugin before 4.1.5 存在SQL注入漏洞,該漏洞源于插件設置的管理位置頁面中,容易受到高級特權用戶(admin+) SQL注入的攻擊.
CVE-2021-24131 Wordpress CleanTalk是 (Wordpress)開源的一個應用插件.提供一個免費的反垃圾郵件插件,可與高級Cloud AntiSpam服務cleantalk.org一起使用. Anti-Spam by CleanTalk WordPress plugin before 5.149 存在SQL注入漏洞,該漏洞源于反垃圾郵件中輸入未經(jīng)驗證的信息,導致多個經(jīng)過驗證的SQL注入漏洞.
CVE-2021-24139 Wordpress Photo Gallery是 (Wordpress)開源的一個應用插件.提供一個將響應式畫廊和相冊添加到的網(wǎng)站功能. WordPress Photo Gallery plugin 存在SQL注入漏洞,該漏洞源于frontend/models/model.php bwg_search_x參數(shù).
CVE-2021-24142 Wordpress Easy Redirect Manager是 (Wordpress)開源的一個應用插件.提供一個管理和創(chuàng)建WordPress網(wǎng)站的301、302、307重定向,以改善SEO和訪客體驗功能. Easy Redirect Manager WordPress plugin before 2.51存在SQL注入漏洞,該漏洞允許高特權用戶執(zhí)行SQL注入.
CVE-2021-24144 Wordpress Contact Form 7 Database Addon是 (Wordpress)開源的一個應用插件.該插件用來將聯(lián)系表7提交內(nèi)容保存到您的WordPress數(shù)據(jù)庫中. 
Contact Form 7 Database Addon plugin before 1.2.5.6 存在注入漏洞,遠程攻擊者可利用該漏洞可以將任意公式注入CSV文件中.
CVE-2021-25920 OpenEMR是OpenEMR(Openemr)社區(qū)的一套開源的醫(yī)療管理系統(tǒng).該系統(tǒng)可用于醫(yī)療實踐管理、電子醫(yī)療記錄、處方書寫和醫(yī)療帳單申請. OpenEMR versions v2.7.2-rc1 to 6.0.0 存在安全漏洞,該漏洞源于創(chuàng)建新用戶時容易受到不當?shù)脑L問控制,從而導致惡意用戶能夠代表受害用戶讀取和發(fā)送敏感消息.
CVE-2021-25921 OpenEMR是OpenEMR(Openemr)社區(qū)的一套開源的醫(yī)療管理系統(tǒng).該系統(tǒng)可用于醫(yī)療實踐管理、電子醫(yī)療記錄、處方書寫和醫(yī)療帳單申請. OpenEMR 2.7.3-rc1 to 6.0.0 存在安全漏洞,該漏洞源于在“Allergies”一節(jié)中沒有正確驗證用戶輸入.攻擊者可利用該漏洞可以引誘管理員輸入惡意有效負載,從而發(fā)起攻擊.
CVE-2021-25922 OpenEMR是OpenEMR(Openemr)社區(qū)的一套開源的醫(yī)療管理系統(tǒng).該系統(tǒng)可用于醫(yī)療實踐管理、電子醫(yī)療記錄、處方書寫和醫(yī)療帳單申請. OpenEMR versions 4.2.0 to 6.0.0 存在跨站腳本漏洞,該漏洞源于用戶輸入沒有得到正確的驗證.
CVE-2021-26701 Microsoft .NET Core是美國微軟(Microsoft)公司的一套免費的開源開發(fā)平臺.該平臺具有多語言支持和跨平臺等特點. Microsoft .NET Core 中存在安全漏洞.以下產(chǎn)品和版本受到影響:.NET Core 2.1,.NET Core 3.1,.NET 5.0.
CVE-2021-27055 Microsoft Office是美國微軟(Microsoft)公司的一款辦公軟件套件產(chǎn)品.該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等. Microsoft Visio 存在安全漏洞.以下產(chǎn)品和版本受到影響:Microsoft Office 2019 for 32-bit editions,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft Office 2019 for 64-bit editions,Microsoft Visio 2013 Service Pack 1 (32-bit editions),Microsoft Visio 2013 Service Pack 1 (64-bit editions),Microsoft Visio 2016 (32-bit edition),Microsoft Visio 2016 (64-bit edition),Microsoft Visio 2010 Service Pack 2 (32-bit editions),Microsoft Visio 2010 Service Pack 2 (64-bit editions).
CVE-2021-27056 Microsoft Office PowerPoint是美國微軟(Microsoft)公司的一個用于制作、演示文稿(PPT)的軟件. Microsoft PowerPoint 存在安全漏洞.以下產(chǎn)品和版本受到影響:Microsoft PowerPoint 2013 Service Pack 1 (64-bit editions),Microsoft PowerPoint 2013 RT Service Pack 1,Microsoft PowerPoint 2016 (32-bit edition),Microsoft PowerPoint 2016 (64-bit edition),Microsoft PowerPoint 2010 Service Pack 2 (32-bit editions),Microsoft PowerPoint 2010 Service Pack 2 (64-bit editions),Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft PowerPoint 2013 Service Pack 1 (32-bit editions).
CVE-2021-27291 Matth?us G. Chajdas pygments是 (Matth?us G. Chajdas)開源的一個應用軟件.提供通用語法突出顯示工具功能. pygments 1.1+ 存在安全漏洞,攻擊者可利用該漏洞可以導致拒絕服務.
CVE-2021-27358 Grafana是Grafana實驗室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana before 7.4.1 存在安全漏洞,該漏洞允許未經(jīng)身份驗證的遠程攻擊者通過遠程API調(diào)用觸發(fā)拒絕服務.
CVE-2021-27576 Apache OpenMeetings是美國阿帕奇(Apache)基金會的一套多語言可定制的視頻會議和協(xié)作系統(tǒng).該產(chǎn)品支持音頻、視頻并允許用戶查看每個與會者的桌面等. Apache OpenMeetings 6.0.0 存在安全漏洞,該漏洞源于netttest web服務可用于超載服務器的帶寬.
CVE-2021-27645 GNU C Library(glibc,libc6)是一種按照LGPL許可協(xié)議發(fā)布的開源免費的C語言編譯程序. GNU C Library (aka glibc or libc6) 2.29 through 2.33 存在資源管理錯誤漏洞,該漏洞源于緩存守護進程(nscd)在處理網(wǎng)絡組查找請求時,可能會由于雙free而崩潰.
CVE-2021-27803 wpa_supplicant是一款跨平臺的WPA請求程序.該程序支持WEP、WPA和WPA2等. wpa_supplicant before 2.10 存在安全漏洞,攻擊者可利用該漏洞可能執(zhí)行任意代碼.
CVE-2021-27928 MariaDB是MariaDB(Mariadb)基金會的一套免費開源的數(shù)據(jù)庫管理系統(tǒng),也是一個采用Maria存儲引擎的MySQL分支版本. MariaDB 10.2 before 10.2.37, 10.3 before 10.3.28, 10.4 before 10.4.18, and 10.5 before 10.5.9 存在安全漏洞,不受信任的搜索路徑會導致eval注入.
CVE-2021-27962 Grafana是Grafana實驗室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana Enterprise 存在安全漏洞,該漏洞源于具有Editor角色的用戶可以繞過組織默認數(shù)據(jù)源的數(shù)據(jù)源權限.
CVE-2021-28041 OpenSSH(OpenBSD Secure Shell)是Openbsd計劃組的一套用于安全訪問遠程計算機的連接工具.該工具是SSH協(xié)議的開源實現(xiàn),支持對所有的傳輸進行加密,可有效阻止竊聽、連接劫持以及其他網(wǎng)絡級的攻擊. OpenSSH before 8.5 存在安全漏洞,攻擊者可利用該漏洞在遺留操作系統(tǒng)上不受約束的代理套接字訪問.
CVE-2021-28116 Squid是一套代理服務器和Web緩存服務器軟件.該軟件提供緩存萬維網(wǎng)、過濾流量、代理上網(wǎng)等功能. Squid through 4.14 and 5.x through 5.0.5 存在安全漏洞,該漏洞源于WCCP協(xié)議數(shù)據(jù)的越界讀取.
CVE-2021-28117 KDE Discover是 (KDE)社區(qū)的一個應用程序.提供一個幫助查找和安裝應用程序,游戲和工具的功能. KDE Discover before 5.21.3 存在安全漏洞,該漏洞源于KNSResource.cpp會根據(jù)store.kde.org網(wǎng)站的內(nèi)容自動創(chuàng)建指向潛在危險url.
CVE-2021-28133 ZOOM Zoom Client是美國Zoom(ZOOM)公司的一款支持多種平臺的視頻會議客戶端應用程序. Zoom through 5.5.4 存在安全漏洞,該漏洞源于允許攻擊者可利用該漏洞讀取參與者屏幕上的私人信息.
CVE-2021-28146 Grafana是Grafana實驗室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana 存在安全漏洞,該漏洞源于允許通過外部組繞過授權.
CVE-2021-28147 Grafana是Grafana實驗室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana Enterprise 存在安全漏洞,該漏洞允許通過外部組繞過訪問限制.
CVE-2021-28148 Grafana是Grafana實驗室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana 存在安全漏洞,該漏洞源于任何未經(jīng)身份驗證的用戶都可以使用觀察的HTTP API端點向該端點發(fā)送無限數(shù)量的請求,從而導致拒絕服務.
CVE-2021-28153 GNOME Glib是一套用于創(chuàng)建圖形用戶界面的多平臺工具包,是GTK+和GNOME工程的基礎底層核心程序庫. GNOME GLib before 2.66.8 存在安全漏洞,改漏洞源于g_file_replace與G_FILE_CREATE_REPLACE_DESTINATION錯誤地還將符號鏈接的目標創(chuàng)建為空文件.
CVE-2021-28375 Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel through 5.11.6 存在安全漏洞,該漏洞源于fastrpc.c不阻止用戶應用程序發(fā)送內(nèi)核RPC消息.
CVE-2021-28378 Gitea是Gitea社區(qū)的一個基于Go開發(fā)的輕量型git服務. Gitea 1.12.x and 1.13.x before 1.13.4 存在安全漏洞,該漏洞允許在某些情況下通過特定的問題數(shù)據(jù)進行XSS.
CVE-2021-28543 Martin Blix Grydeland varnish-modules是 (Martin Blix Grydeland)開源的一個應用軟件.用于描述具有其他功能的HTTP請求/響應策略. varnish-modules 存在安全漏洞,該漏洞允許遠程攻擊者在某些配置中導致拒絕服務(守護進程重啟).
CVE-2021-28687 Xen是英國劍橋(Cambridge)大學的一款開源的虛擬機監(jiān)視器產(chǎn)品.該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運行在同一臺計算機上,并支持在運行時進行遷移,保證正常運行并且避免宕機. Xen 存在安全漏洞,攻擊者可利用該漏洞軟復位管理守護進程觸發(fā)致命錯誤.
CVE-2021-28831 BusyBox是烏克蘭Denis Vlasenko個人開發(fā)者的一套包含了多個linux命令和工具的應用程序. BusyBox through 1.32.1 存在安全漏洞,該漏洞源于錯誤地處理huft構建結果指針上的錯誤位,通過畸形的gzip數(shù)據(jù)導致無效的自由或分段錯誤.
CVE-2021-28834 Thomas Leitner kramdown是 (Thomas Leitner)開源的一個應用程序.提供一個快速的純Ruby Markdown超集轉換器,使用嚴格的語法定義并支持幾個常用擴展. Kramdown before 2.3.1 存在安全漏洞,該漏洞源于Kramdown沒有將Rouge格式化器限制為Rouge:: formatters名稱空間.
CVE-2021-28935 CMS Made Simple(CMSMS)是CMSMS(Cmsms)團隊的一套開源的內(nèi)容管理系統(tǒng)(CMS).該系統(tǒng)支持基于角色的權限管理系統(tǒng)、基于向導的安裝與更新機制、智能緩存機制等. 
CMS Made Simple (CMSMS) 2.2.15 存在跨站腳本漏洞,該漏洞允許通過admin addbookmark.php腳本通過站點admin >我的首選項>標題字段驗證XSS.
CVE-2021-28957 Lxml是Lxml個人開發(fā)者的一個可與Python交互用于定位Html中元素的軟件. lxml 4.6.2 存在跨站腳本漏洞,該漏洞源于HTML5的formaction屬性.
CVE-2021-3137 Xwiki Platform是法國Xwiki公司的一套用于創(chuàng)建Web協(xié)作應用程序的Wiki平臺. XWiki 12.10.2 存在跨站腳本漏洞,該漏洞源于WEB應用缺少對客戶端數(shù)據(jù)的正確驗證.攻擊者可利用該漏洞執(zhí)行客戶端代碼.
CVE-2021-3138 Discourse是一套開源的社區(qū)討論平臺.該平臺包括社區(qū)、電子郵件和聊天室等功能. Discourse 2.7.0 through beta1 存在安全漏洞,該漏洞源于2FA依賴于certain forms rate-limit.
CVE-2021-3156 Sudo是一款使用于類Unix系統(tǒng)的,允許用戶通過安全的方式使用特殊的權限執(zhí)行命令的程序. Sudo before 1.9.5p2 存在緩沖區(qū)錯誤漏洞,攻擊者可使用sudoedit -s和一個以單個反斜杠字符結束的命令行參數(shù)升級到root.
CVE-2021-3181 Mutt是Michael Elkins個人開發(fā)者的一款用于類Unix系統(tǒng)下且基于文本的郵件客戶端. Mutt through 2.0.4 存在安全漏洞,攻擊者可利用該漏洞使用一個小的電子郵件消息導致大量內(nèi)存消耗,并且受害者可能無法看到來自其他人的電子郵件消息.
CVE-2021-3405 Matroska libebml是GlobalMatroska開源的一個應用程序提供用于讀取和寫入Matroska文件的低級C ++庫 libebml before 1.4.2 存在安全漏洞,該漏洞源于libebml中EbmlString::ReadData和EbmlUnicodeString::ReadData的實現(xiàn)中存在一個堆溢出bug.
CVE-2021-3406 CNCF Keylime是 CNCF開源的一個應用軟件.提供高度可擴展的遠程啟動證明和運行時完整性測量解決方案. keylime 5.8.1 and older 存在安全漏洞,該漏洞源于代理認證的信任密碼鏈失效.
CVE-2021-3407 artifex mupdf是個人開發(fā)者的一款富文本編輯器.富文本編輯器不同于文本編輯器,程序員可到網(wǎng)上下載免費的富文本編輯器內(nèi)嵌于自己的網(wǎng)站或程序里(當然付費的功能會更強大些),方便用戶編輯文章或信息. mupdf 1.18.0 存在緩沖區(qū)錯誤漏洞,該漏洞源于Double free object可能會導致內(nèi)存損壞.
CVE-2021-3410 libcaca是開源的一個軟件庫.可將圖像轉換為彩色ASCII藝術品. libcaca v0.99.beta19 存在緩沖區(qū)錯誤漏洞,該漏洞源于libcaca caca canvas.c中的caca resize函數(shù)中的緩沖區(qū)溢出問題可能導致在用戶上下文中執(zhí)行任意代碼.
CVE-2021-3420 Red Hat newlib libc是美國紅帽(Red Hat)公司的一款主要用于嵌入式系統(tǒng)的C語言庫. newlib in versions prior to 4.0.0 存在安全漏洞,該漏洞源于內(nèi)存分配函數(shù)mEMALIGn, pvALLOc, nano_memalign, nano_valloc, nano_pvalloc不當?shù)囊绯鲵炞C可能導致整數(shù)溢出,導致分配一個小緩沖區(qū),然后導致基于堆的緩沖區(qū)溢出.
CVE-2021-3429 debian(Debian GUN/Linux)是Debian Project的一個Linux操作系統(tǒng).該系統(tǒng)擁有更快更容易的內(nèi)存管理、開源軟件的支持、良好的系統(tǒng)安全、較高的穩(wěn)定性. Debian 存在安全漏洞,攻擊者可利用該漏洞可以通過非散列生成的cloud-init密碼繞過限制,以升級他的特權.
CVE-2021-3443 JasPer是Michael Adams個人開發(fā)者的一個基于C的用于處理圖像的工具.該軟件支持ISO / IEC 15444-1中定義的JPEG-2000格式,主要用于圖像的編碼和處理. Jasper 存在代碼問題漏洞,攻擊者可利用該漏洞可以通過jp2_decode()強制空指針被解引用,從而觸發(fā)拒絕服務.
CVE-2021-3446 Archlinux libtpms是 Archlinux開源的一個應用程序.提供可信任平臺模塊(TPM 1.2和TPM 2.0)的軟件仿真的庫. libtpms in versions before 0.8.2 存在加密問題漏洞,該漏洞源于沒有返回最后一個初始化向量,而是返回了初始的初始化向量給調(diào)用者,從而削弱了后續(xù)的加密和解密步驟.
CVE-2021-3449 OpenSSL是Openssl團隊的一個開源的能夠實現(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在代碼問題漏洞,該漏洞導致空指針解引用,導致崩潰和拒絕服務攻擊.
CVE-2021-3450 OpenSSL是Openssl團隊的一個開源的能夠實現(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在安全漏洞,該漏洞允許繞過ca證書檢查.
CVE-2021-3467 JasPer是Michael Adams個人開發(fā)者的一個基于C的用于處理圖像的工具.該軟件支持ISO / IEC 15444-1中定義的JPEG-2000格式,主要用于圖像的編碼和處理. Jasper versions before 2.0.26 存在代碼問題漏洞,該漏洞源于一個空指針解引用.一個特別制作的JP2圖像文件可能會導致應用程序在打開時崩潰.

 
 

上一篇:csv_vul_plugins_202104

下一篇:谷歌漏洞披露政策更新,新增30天緩沖期