漏掃/基線(xiàn)升級(jí)包

csv_vul_plugins_202105

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-05-19    瀏覽次數(shù):
 

升級(jí)包下載:SP_003_n_upgrade_package_2021-05-12.zip

 

CVE-2013-5653 Artifex Software Ghostscript是美國(guó)Artifex Software公司的一款開(kāi)源的PostScript(一種用于電子產(chǎn)業(yè)和桌面出版領(lǐng)域的頁(yè)面描述語(yǔ)言和編程語(yǔ)言)解析器,它可顯示Postscript文件以及在非Postscript打印機(jī)上打印Postscript文件. Artifex Software Ghostscript 9.10中的‘getenv’和‘filenameforall’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可借助特制的postscript文件利用該漏洞讀取數(shù)據(jù).
CVE-2014-0249 System Security Services Daemon(SSSD)是一個(gè)系統(tǒng)安全服務(wù)守護(hù)進(jìn)程,它是介于本地用戶(hù)和數(shù)據(jù)存儲(chǔ)之間的進(jìn)程,支持訪(fǎng)問(wèn)多種驗(yàn)證服務(wù)器,如LDAP,Kerberos等,并提供授權(quán). SSSD 1.11.6版本中存在安全漏洞,該漏洞源于程序沒(méi)有正確識(shí)別組成員.本地攻擊者可利用該漏洞繞過(guò)訪(fǎng)問(wèn)限制.
CVE-2014-4040 powerpc-utils是一個(gè)為L(zhǎng)inux on Power提供支持和維護(hù)的工具包. powerpc-utils 1.2.20版本的snap中存在安全漏洞,該漏洞源于程序產(chǎn)生fstab和yaboot.conf文件的存檔包含明文密碼.遠(yuǎn)程攻擊者可通過(guò)對(duì)技術(shù)支持?jǐn)?shù)據(jù)流的訪(fǎng)問(wèn)利用該漏洞獲取敏感信息.
CVE-2014-6270 Squid(全稱(chēng)Squid Cache)是一套代理服務(wù)器和Web緩存服務(wù)器軟件.該軟件提供緩存萬(wàn)維網(wǎng)、過(guò)濾流量、代理上網(wǎng)等功能. Squid 2.x版本和3.x版本的snmp_core.cc文件中的‘snmpHandleUdp’函數(shù)中存在差一錯(cuò)誤漏洞.當(dāng)程序使用SNMP端口時(shí),遠(yuǎn)程攻擊者可通過(guò)發(fā)送特制的UDP SNMP請(qǐng)求利用該漏洞造成拒絕服務(wù)(崩潰)或執(zhí)行任意代碼.
CVE-2014-8240 TigerVNC是一個(gè)高級(jí)的VNC(遠(yuǎn)程控制軟件)遠(yuǎn)程訪(fǎng)問(wèn)的實(shí)現(xiàn),它能夠查看遠(yuǎn)程工作站的桌面,也可遠(yuǎn)程控制計(jì)算機(jī)的屏幕,且包含了一個(gè)JPEG壓縮加速器. TigerVNC中存在整數(shù)溢出漏洞,該漏洞源于程序沒(méi)有正確處理屏幕大小.遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(崩潰),也可能執(zhí)行任意代碼.
CVE-2014-9645 BusyBox是烏克蘭軟件開(kāi)發(fā)者Denis Vlasenko所負(fù)責(zé)維護(hù)的一套包含了多個(gè)linux命令和工具的應(yīng)用程序. BusyBox 1.23.0之前的版本中的modutils/modprobe.c文件中的‘a(chǎn)dd_probe’函數(shù)存在安全漏洞.本地攻擊者可借助模塊名中的‘/’字符利用該漏洞繞過(guò)加載模塊上既定的限制.
CVE-2014-9654 Google Chrome是美國(guó)谷歌(Google)公司開(kāi)發(fā)的一款Web瀏覽器.International Components for Unicode(ICU)for C/C++是一個(gè)Unicode支持、軟件國(guó)際化、全球化的C/C++庫(kù). Google Chrome 40.0.2214.91之前的版本中的ICU for C/C++ 2014-12-03之前的版本的Regular Expressions package存在安全漏洞.遠(yuǎn)程攻擊者可借助特制的字符串利用該漏洞造成拒絕服務(wù)(內(nèi)存損壞).
CVE-2015-0287 OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層(SSL v2/v3)和安全傳輸層(TLS v1)協(xié)議的通用加密庫(kù),它支持多種加密算法,包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等. OpenSSL的crypto/asn1/tasn_dec.c文件中的‘ASN1_item_ex_d2i’函數(shù)存在安全漏洞,該漏洞源于程序沒(méi)有重新初始化CHOICE和ADB數(shù)據(jù)類(lèi)型.攻擊者可借助特制的應(yīng)用程序利用該漏洞造成拒絕服務(wù)(無(wú)效的寫(xiě)入操作和內(nèi)存損壞).以下版本受到影響:OpenSSL 0.9.8zf之前版本,1.0.0r之前1.0.0版本,1.0.1m之前1.0.1版本,1.0.2a之前1.0.2版本.
CVE-2015-0294 GnuTLS是一款免費(fèi)的用于實(shí)現(xiàn)SSL、TLS和DTLS協(xié)議的安全通信庫(kù). GnuTLS中存在信任管理問(wèn)題漏洞,該漏洞該源于程序沒(méi)有正確驗(yàn)證證書(shū)算法.
CVE-2015-0794 Novell openSUSE是美國(guó)Novell公司的一套基于Linux的自由操作系統(tǒng). Novell openSUSE 13.2版本的dracut程序包037-17.30.1之前版本中的modules.d/90crypt/module-setup.sh文件存在安全漏洞.本地攻擊者可通過(guò)在/tmp/dracut_block_uuid.map文件上實(shí)施符號(hào)鏈接攻擊利用該漏洞造成未知影響.
CVE-2015-1142857 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的操作系統(tǒng)Linux所使用的內(nèi)核.Linux kernel ixgbe driver和i40e/i40evf driver是其中的網(wǎng)卡驅(qū)動(dòng)程序;DPDK是其中的一個(gè)數(shù)據(jù)平面開(kāi)發(fā)套件. 多款產(chǎn)品中存在安全漏洞.攻擊者可利用該漏洞控制其它虛擬機(jī)的吞吐量和延遲.以下產(chǎn)品和版本受到影響:Linux kernel ixgbe驅(qū)動(dòng)程序commit f079fa005aae08ee0e1bc32699874ff4f02e11c1之前的版本;Linux Kernel i40e/i40evf驅(qū)動(dòng)程序e7358f54a3954df16d4f87e3cad35063f1c17de5之前的版本;DPDK commit 3f12b9f23b6499ff66ec8b0de941fb469297e5d0之前的版本及多個(gè)產(chǎn)商適配器固件.
CVE-2015-7552 gdk-pixbuf是一個(gè)用于圖像加載和像素緩沖處理的工具包. gdk-pixbuf 2.30.x版本的gdk-pixbuf-scale.c文件中的‘gdk_pixbuf_flip’函數(shù)存在基于堆的緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可借助特制的BMP文件利用該漏洞造成拒絕服務(wù),或執(zhí)行任意代碼.
CVE-2015-8710 Libxml2是GNOME項(xiàng)目組所研發(fā)的一個(gè)基于C語(yǔ)言的用來(lái)解析XML文檔的函數(shù)庫(kù),它支持多種編碼格式、Xpath解析、Well-formed和valid驗(yàn)證等. Libxml2的HTMLparser.c文件中的‘htmlParseComment’函數(shù)存在安全漏洞.攻擊者可借助打開(kāi)的HTML評(píng)論利用該漏洞獲取敏感信息,造成拒絕服務(wù)(越邊界堆內(nèi)存訪(fǎng)問(wèn)和應(yīng)用程序崩潰).
CVE-2016-10040 Digia Qt是芬蘭Digia公司的一套跨平臺(tái)的C++應(yīng)用程序開(kāi)發(fā)框架.該框架可用于開(kāi)發(fā)GUI程序. Digia Qt 4.8.5版本中的QXmlSimpleReader存在基于棧的緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(應(yīng)用程序崩潰).
CVE-2016-1602 Novell SuSE Linux Enterprise Server和SUSE Linux Enterprise Desktop都是美國(guó)Novell公司的企業(yè)服務(wù)器版Linux操作系統(tǒng). Novell SUSE Linux Enterprise Server 12和12-SP1版本和SUSE Linux Enterprise Desktop 12和12-SP1版本中的supportutils的supportconfig數(shù)據(jù)收集工具存在代碼注入漏洞.本地攻擊者可利用該漏洞執(zhí)行任意代碼.
CVE-2016-1923 OpenJPEG是一款基于C語(yǔ)言的開(kāi)源JPEG 2000編碼解碼器. OpenJpeg 2016.1.18版本的‘opj_j2k_update_image_data’函數(shù)中存在基于堆的緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可借助特制的JPEG 2000圖像利用該漏洞造成拒絕服務(wù)(越邊界讀取和應(yīng)用程序崩潰).
CVE-2016-3190 Cairo是軟件開(kāi)發(fā)者Carl Worth和Behdad Esfahbod共同研發(fā)的一個(gè)跨平臺(tái)的開(kāi)源矢量圖形函數(shù)庫(kù),它支持在多個(gè)背景下做2D繪圖,并提供高質(zhì)量的顯示和打印輸出.
Cairo 1.14.2之前版本的cairo-image-compositor.c文件中的‘fill_xrgb32_lerp_opaque_spans’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可借助負(fù)的span長(zhǎng)度值利用該漏洞造成拒絕服務(wù)(越邊界讀取和應(yīng)用程序崩潰).
CVE-2016-3627 Libxml2是GNOME項(xiàng)目組所研發(fā)的一個(gè)基于C語(yǔ)言的用來(lái)解析XML文檔的函數(shù)庫(kù),它支持多種編碼格式、Xpath解析、Well-formed和valid驗(yàn)證等. libxml2 2.9.3及之前版本的tree.c文件中的‘xmlStringGetNodeList’函數(shù)存在安全漏洞.當(dāng)程序工作在恢復(fù)模式時(shí),攻擊者可借助特制的XML文檔利用該漏洞造成拒絕服務(wù)(無(wú)限遞歸,棧損壞和應(yīng)用程序崩潰).
CVE-2016-3977 giflib是GIFLIB項(xiàng)目負(fù)責(zé)維護(hù)的一個(gè)用于處理GIF圖像的庫(kù)及實(shí)用程序.gif2rgb是其中的一個(gè)基于C語(yǔ)言將GIF文件格式轉(zhuǎn)換為RGB24格式的模塊. giflib 5.1.2版本的gif2rgb中的util/gif2rgb.c文件存在基于堆的緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可借助GIF文件中的背景顏色索引利用該漏洞造成拒絕服務(wù)(應(yīng)用程序崩潰).
CVE-2016-4470 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核.NFSv4 implementation是其中的一個(gè)分布式文件系統(tǒng)協(xié)議. Linux kernel 4.6.3及之前版本的arch/x86/kvm/vmx.c文件中存在安全漏洞,該漏洞源于程序沒(méi)有正確處理APICv on/off狀態(tài).虛擬機(jī)端攻擊者可借助x2APIC模式利用該漏洞獲取主機(jī)操作系統(tǒng)的直接的APIC MSR訪(fǎng)問(wèn)權(quán)限,造成拒絕服務(wù)(主機(jī)操作系統(tǒng)崩潰),或執(zhí)行任意代碼.
CVE-2016-4983 Dovecot是一款開(kāi)源的基于類(lèi)Linux/UNIX系統(tǒng)的IMAP和POP3郵件服務(wù)器. Dovecot中存在信息泄露漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在運(yùn)行過(guò)程中存在配置等錯(cuò)誤.未授權(quán)的攻擊者可利用漏洞獲取受影響組件敏感信息.
CVE-2016-4998 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核.NFSv4 implementation是其中的一個(gè)分布式文件系統(tǒng)協(xié)議. Linux kernel 4.6之前版本的netfilter子系統(tǒng)中的IPT_SO_SET_REPLACE setsockopt實(shí)現(xiàn)過(guò)程中存在安全漏洞.本地攻擊者可借助提供偏移值的in-container root訪(fǎng)問(wèn)權(quán)限利用該漏洞造成拒絕服務(wù)(內(nèi)存損壞),或獲取內(nèi)核堆內(nèi)存中的敏感信息.
CVE-2016-5009 Red Hat Ceph是美國(guó)紅帽(Red Hat)公司的一套Linux PB級(jí)分布式文件系統(tǒng).該系統(tǒng)的主要目標(biāo)是設(shè)計(jì)成基于POSIX(可移植操作系統(tǒng)接口)的沒(méi)有單點(diǎn)故障的分布式文件系統(tǒng),使數(shù)據(jù)能容錯(cuò)和無(wú)縫的復(fù)制.
Ceph中的mon/Monitor.cc文件中的‘handle_command’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可通過(guò)發(fā)送空的或特制的‘prefix’值利用該漏洞造成拒絕服務(wù)(段錯(cuò)誤和ceph監(jiān)視器崩潰).
CVE-2016-5100 Froxlor是Froxlor團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)網(wǎng)頁(yè)版本的服務(wù)器后臺(tái)控制面板,它支持Apache、Lighttpd和Nginx等多種服務(wù)器. Froxlor 0.9.35之前的版本中存在安全漏洞,該漏洞源于程序使用‘PHP rand’函數(shù)生成隨機(jī)數(shù).遠(yuǎn)程攻擊者可利用該漏洞猜出密碼重置令牌.
CVE-2016-5746 libstorage是一個(gè)用于管理Linux存儲(chǔ)設(shè)備的C++庫(kù).libstorage-ng是一套用于評(píng)估boost圖片庫(kù)使用情況的工具.yast-storage是一個(gè)用于libstorage后臺(tái)的存儲(chǔ)庫(kù). libstorage、libstorage-ng和yast-storage中存在安全漏洞,該漏洞源于磁盤(pán)上的臨時(shí)文件中的加密存儲(chǔ)設(shè)備,沒(méi)有正確存儲(chǔ)密碼口令句.本地攻擊者可通過(guò)讀取文件利用該漏洞獲取敏感信息.
CVE-2016-5759 Novell SuSE Linux Enterprise Server是美國(guó)Novell公司的一套企業(yè)服務(wù)器版Linux操作系統(tǒng).Linux Enterprise Desktop是一套桌面版Linux系統(tǒng) Novell SUSE Linux Enterprise Server 12-SP1版本和Linux Enterprise Desktop 12-SP1版本中存在安全漏洞.攻擊者可利用該漏洞以root權(quán)限執(zhí)行代碼.
CVE-2016-7427 NTP(Network Time Protocol,網(wǎng)絡(luò)時(shí)間協(xié)議)是一種以數(shù)據(jù)包交換把兩臺(tái)電腦的時(shí)鐘同步化的網(wǎng)絡(luò)協(xié)議.ntpd是其中的一個(gè)操作系統(tǒng)守護(hù)進(jìn)程,它使用網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)與時(shí)間服務(wù)器的系統(tǒng)時(shí)間保持同步. NTP 4.2.8p9之前的版本中的ntpd的broadcast mode replay prevention功能存在安全漏洞.遠(yuǎn)程攻擊者可借助特制的廣播模式數(shù)據(jù)包利用該漏洞造成拒絕服務(wù)(拒絕廣播模式數(shù)據(jù)包).
CVE-2016-7942 X.Org libX11是X.Org基金會(huì)運(yùn)作的一個(gè)X11(X Window系統(tǒng))客戶(hù)端庫(kù). X.Org libX11存在安全漏洞.攻擊者可利用該漏洞造成拒絕服務(wù)(越邊界內(nèi)存讀取或?qū)懭耄?
CVE-2016-8602 Artifex Software Ghostscript是美國(guó)Artifex Software公司的一款開(kāi)源的PostScript(一種用于電子產(chǎn)業(yè)和桌面出版領(lǐng)域的頁(yè)面描述語(yǔ)言和編程語(yǔ)言)解析器,它可顯示Postscript文件以及在非Postscript打印機(jī)上打印Postscript文件. Artifex Software Ghostscript 9.21之前的版本中的psi/zht2.c文件的‘.sethalftone5’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可通過(guò)特制的Postscript文檔利用該漏洞造成拒絕服務(wù)(應(yīng)用程序崩潰),或可能執(zhí)行任意代碼.
CVE-2016-9401 Bash是美國(guó)軟件開(kāi)發(fā)者布萊恩-??怂梗˙rian J. Fox)為GNU計(jì)劃而編寫(xiě)的一個(gè)Shell(命令語(yǔ)言解釋器),它運(yùn)行于類(lèi)Unix操作系統(tǒng)中(Linux系統(tǒng)的默認(rèn)Shell),并能夠從標(biāo)準(zhǔn)輸入設(shè)備或文件中讀取、執(zhí)行命令,同時(shí)也結(jié)合了一部分ksh和csh的特點(diǎn). Bash中的popd存在安全漏洞.本地攻擊者可借助特制的地址利用該漏洞繞過(guò)受限的shell,造成拒絕服務(wù).
CVE-2016-9806 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核.NFSv4 implementation是其中的一個(gè)分布式文件系統(tǒng)協(xié)議. Linux kernel 4.6.2及之前的版本中的net/netlink/af_netlink.c文件的‘netlink_dump’函數(shù)存在競(jìng)爭(zhēng)條件漏洞.本地攻擊者可借助特制的應(yīng)用程序利用該漏洞造成拒絕服務(wù)(雙重釋放).
CVE-2017-10988 遠(yuǎn)程主機(jī)缺少華為EulerOS的更新 “freeradius”一攬子(s)通過(guò)EulerOS-SA-2021-1784公告宣布.
CVE-2017-11527 ImageMagick是美國(guó)ImageMagick Studio公司的一套開(kāi)源的圖象處理軟件.該軟件可讀取、轉(zhuǎn)換、寫(xiě)入多種格式的圖片. ImageMagick 6.9.9-0之前的版本和7.0.6-1之前的7.x版本中的coders/dpx.c文件的‘ReadDPXImage’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(內(nèi)存消耗).
CVE-2017-14970 Open vSwitch(OvS)是一款以開(kāi)源技術(shù)作為基礎(chǔ)(遵循Apache2.0許可)的多層虛擬交換機(jī)產(chǎn)品,它通過(guò)編程擴(kuò)展支持大規(guī)模網(wǎng)絡(luò)自動(dòng)化,標(biāo)準(zhǔn)的管理接口和協(xié)議等. OvS 2.8.1之前的版本中的lib/ofp-util.c文件存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù).
CVE-2017-15638 SUSE Linux Enterprise(SLE)Desktop等都是美國(guó)SUSE公司的產(chǎn)品.SUSE Linux Enterprise(SLE)Desktop是一套企業(yè)級(jí)Linux桌面版系統(tǒng).SLE Server是一套服務(wù)器版Linux系統(tǒng).SuSEfirewall2 package是其中的一個(gè)具有網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾功能的包. 多款SUSE產(chǎn)品中的SuSEfirewall2包存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞繞過(guò)端口映射服務(wù)的訪(fǎng)問(wèn)限制.以下產(chǎn)品和版本受到影響:SUSE Linux Enterprise (SLE) Desktop 12 SP2版本(SuSEfirewall2包3.6.312-2.13.1之前的版本);SLE Server 12 SP2版本(SuSEfirewall2包3.6.312-2.13.1之前的版本);SLE Server for Raspberry Pi 12 SP2版本(SuSEfirewall2包3.6.312-2.13.1之前的版本);SLE Desktop 12 SP3版本(SuSEfirewall2包3.6.312.333-3.10.1之前的版本);SLE Server 12 SP3(SuSEfirewall2包3.6.312.333-3.10.1之前的版本);SLE Server 11 SP4(SuSEfirewall2包3.6_SVNr208-2.18.3.1之前的版本);openSUSE Leap 42.2(SuSEfirewall2包3.6.312-5.9.1之前的版本);openSUSE Leap 42.3(SuSEfirewall2包3.6.312.333-7.1之前的版本).
CVE-2017-15649 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 4.13.6之前的版本中的net/packet/af_packet.c文件存在安全漏洞.本地攻擊者可借助特制的系統(tǒng)調(diào)用利用該漏洞獲取權(quán)限(釋放后重用).
CVE-2017-15868 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 3.19之前的版本中的net/bluetooth/bnep/core.c文件的‘bnep_add_connection’函數(shù)存在安全漏洞,該漏洞源于程序沒(méi)有確保l2cap套字節(jié)可用.本地攻擊者可借助特制的應(yīng)用程序利用該漏洞獲取權(quán)限.
CVE-2017-16939 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 4.13.11之前版本中XFRM轉(zhuǎn)儲(chǔ)策略的實(shí)現(xiàn)存在資源管理錯(cuò)誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品對(duì)系統(tǒng)資源(如內(nèi)存、磁盤(pán)空間、文件等)的管理不當(dāng).
CVE-2017-18078 systemd是德國(guó)軟件開(kāi)發(fā)者Lennart Poettering和其他人共同研發(fā)的一款基于Linux的系統(tǒng)和服務(wù)管理器,它兼容了SysV和LSB的啟動(dòng)腳本,且提供了一個(gè)用來(lái)表示系統(tǒng)服務(wù)間依賴(lài)關(guān)系的框架. systemd 237之前版本中的systemd-tmpfiles存在安全漏洞,該漏洞源于fs.protected_hardlinks sysctl在關(guān)閉之后,程序仍可更改硬鏈接文件的所有權(quán)/權(quán)限.本地攻擊者可利用該漏洞繞過(guò)訪(fǎng)問(wèn)限制.
CVE-2017-18199 GNU libcdio是一個(gè)光盤(pán)輸入和控制庫(kù),其中包含了用于訪(fǎng)問(wèn)CD-ROM和CD鏡像的函數(shù)庫(kù). GNU libcdio 1.0.0之前版本中的rock.c文件的‘realloc_symlink’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可借助特制的iso文件利用該漏洞造成拒絕服務(wù)(空指針逆向引用).
CVE-2017-2518 Apple iOS等都是美國(guó)蘋(píng)果(Apple)公司的產(chǎn)品.Apple iOS是為移動(dòng)設(shè)備所開(kāi)發(fā)的一套操作系統(tǒng);tvOS是一套智能電視操作系統(tǒng).SQLite是其中的一套由美國(guó)軟件開(kāi)發(fā)者D.Richard Hipp所研發(fā)的基于C語(yǔ)言的開(kāi)源嵌入式關(guān)系數(shù)據(jù)庫(kù)管理組件. 多款A(yù)pple產(chǎn)品中的SQLite組件存在緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可借助特制的SQL語(yǔ)句利用該漏洞執(zhí)行任意代碼或造成拒絕服務(wù)(緩沖區(qū)溢出和應(yīng)用程序崩潰).以下產(chǎn)品和版本受到影響:Apple iOS 10.3.2之前的版本;macOS Sierra 10.12.5之前的版本;tvOS 10.2.1之前的版本;watchOS 3.2.2之前的版本.
CVE-2017-5225 Silicon Graphics LibTIFF是美國(guó)Silicon Graphics公司的一個(gè)讀寫(xiě)TIFF(標(biāo)簽圖像文件格式)文件的庫(kù).該庫(kù)包含一些處理TIFF文件的命令行工具. Silicon Graphics LibTIFF 4.0.7版本中的tools/tiffcp.c文件存在堆緩沖區(qū)溢出漏洞.攻擊者可借助特制的‘BitsPerSample’值利用該漏洞造成拒絕服務(wù)或執(zhí)行代碼.
CVE-2017-5526 QEMU(又名Quick Emulator)是法國(guó)程序員法布里斯-貝拉(Fabrice Bellard)所研發(fā)的一套模擬處理器軟件.該軟件具有速度快、跨平臺(tái)等特點(diǎn). QEMU中的hw/audio/es1370.c文件存在內(nèi)存泄露漏洞.本地攻擊者可利用該漏洞造成拒絕服務(wù)(主機(jī)內(nèi)存消耗和QEMU進(jìn)程崩潰).
CVE-2017-5970 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核.NFSv4 implementation是其中的一個(gè)分布式文件系統(tǒng)協(xié)議. Linux kernel 4.9.9及之前的版本中的net/ipv4/ip_sockglue.c文件的‘ipv4_pktinfo_prepare’函數(shù)存在安全漏洞.攻擊者可利用該漏洞造成拒絕服務(wù)(系統(tǒng)崩潰).
CVE-2017-7562 MIT krb5(又名MIT Kerberos 5)是美國(guó)麻省理工(Massachusetts Institute of Technology)學(xué)院的一套網(wǎng)絡(luò)認(rèn)證協(xié)議,它采用客戶(hù)端/服務(wù)器結(jié)構(gòu),并且客戶(hù)端和服務(wù)器端均可對(duì)對(duì)方進(jìn)行身份認(rèn)證(即雙重驗(yàn)證),可防止竊聽(tīng)、防止replay攻擊等. MIT krb5中certauth界面(1.16.1之前版本)驗(yàn)證客戶(hù)端證書(shū)的方法存在授權(quán)問(wèn)題漏洞.遠(yuǎn)程攻擊者可利用該漏洞獲取未授權(quán)的訪(fǎng)問(wèn)權(quán)限或繞過(guò)安全限制.
CVE-2017-8288 gnome-shell是GNOME項(xiàng)目組所研發(fā)的一套GNOME桌面環(huán)境的窗口管理程序. gnome-shell 3.22版本至3.24.1版本的js/ui/extensionSystem.js文件中存在安全漏洞,該漏洞源于程序沒(méi)有正確處理異常.攻擊者可利用該漏洞從擴(kuò)展文件中獲取信息或執(zhí)行任意命令.
CVE-2017-8872 Libxml2是GNOME項(xiàng)目組所研發(fā)的一個(gè)基于C語(yǔ)言的用來(lái)解析XML文檔的函數(shù)庫(kù),它支持多種編碼格式、Xpath解析、Well-formed和valid驗(yàn)證等. Libxml2 2.9.4版本中的HTMLparser.c文件的‘htmlParseTryOrFinish’函數(shù)存在安全漏洞.攻擊者可利用該漏洞造成拒絕服務(wù)(緩沖區(qū)越邊界讀?。┗颢@取信息.
CVE-2018-10195 遠(yuǎn)程主機(jī)缺少'rzsz'的更新 package(s)宣布通過(guò)SUSE-SU-2018:1066-1公告.
CVE-2018-12472 Micro Focus SUSE Linux是英國(guó)Micro Focus公司的一套Linux操作系統(tǒng).SMT是其中的一個(gè)多線(xiàn)程同步處理組件. Micro Focus SUSE Linux 3.0.37之前版本中存在安全漏洞,該漏洞源于在檢測(cè)主機(jī)名稱(chēng)時(shí),程序只檢測(cè)了‘Host’HTTP包頭.遠(yuǎn)程攻擊者可利用該漏洞假冒同級(jí)服務(wù)器(sibling server).
CVE-2018-16839 Haxx curl是瑞典Haxx公司的一套利用URL語(yǔ)法在命令行下工作的文件傳輸工具.該工具支持文件上傳和下載,并包含一個(gè)用于程序開(kāi)發(fā)的libcurl(客戶(hù)端URL傳輸庫(kù)). Haxx curl 7.33.0版本至7.61.1版主中的SASL身份驗(yàn)證代碼存在緩沖區(qū)錯(cuò)誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí),未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯(cuò)誤的讀寫(xiě)操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.
CVE-2018-16889 Red Hat Ceph是美國(guó)紅帽(Red Hat)公司的一套分布式對(duì)象存儲(chǔ)和文件系統(tǒng). Red Hat Ceph v13.2.4之前版本中存在信息泄露漏洞,該漏洞源于程序沒(méi)有正確地過(guò)濾密鑰.本地攻擊者可利用該漏洞泄露密鑰信息.
CVE-2018-17294 Liblouis是一款使用C語(yǔ)言編寫(xiě)的開(kāi)源的盲文翻譯器. Liblouis 3.7之前版本中的lou_translateString.c文件的‘matchCurrentInput’函數(shù)存在安全漏洞,該漏洞源于程序沒(méi)有驗(yàn)證輸入字符串的長(zhǎng)度.攻擊者可通過(guò)構(gòu)造輸入文件利用該漏洞造成拒絕服務(wù)(越界讀取和應(yīng)用程序崩潰).
CVE-2018-18386 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 4.14.11之前版本中的drivers/tty/n_tty.c文件存在安全漏洞.本地攻擊者可利用該漏洞掛起偽終端設(shè)備或限制進(jìn)一步使用偽終端設(shè)備.
CVE-2018-19942 QNAP Systems TS-870是中國(guó)威聯(lián)通(QNAP Systems)公司的一款NAS(網(wǎng)絡(luò)附屬存儲(chǔ))設(shè)備. 使用4.3.4.0486版本固件的QNAP Systems TS-870中的文件管理器存在安全漏洞.攻擊者可利用該漏洞執(zhí)行惡意的JavaScript代碼.
CVE-2018-20225 Pip是一套用于安裝和管理Python軟件包的工具. Pip(所有版本)中的--extra-index-url選項(xiàng)存在輸入驗(yàn)證錯(cuò)誤漏洞.攻擊者可借助特制請(qǐng)求利用該漏洞在系統(tǒng)上執(zhí)行任意代碼.
CVE-2018-5748 Red Hat libvirt是美國(guó)紅帽(Red Hat)公司的一個(gè)用于實(shí)現(xiàn)Linux虛擬化功能的Linux API,它支持各種Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系統(tǒng)的一些虛擬產(chǎn)品. Red Hat libvirt中的qemu/qemu_monitor.c文件存在安全漏洞.攻擊者可利用該漏洞造成拒絕服務(wù).
CVE-2018-5848 Android是美國(guó)谷歌(Google)和開(kāi)放手持設(shè)備聯(lián)盟(簡(jiǎn)稱(chēng)OHA)的一套以L(fǎng)inux為基礎(chǔ)的開(kāi)源操作系統(tǒng). Android中的Qualcomm WIGIG存在緩沖區(qū)錯(cuò)誤漏洞.攻擊者可利用該漏洞執(zhí)行任意代碼或造成拒絕服務(wù).
CVE-2018-7566 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 4.15版本中存在緩沖區(qū)錯(cuò)誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí),未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯(cuò)誤的讀寫(xiě)操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.
CVE-2018-7728 Exempi是一個(gè)基于Adobe XMP SDK的XMP的開(kāi)源實(shí)現(xiàn). Exempi 2.4.4及之前版本中的third-party/zuid/interfaces/MD5.cpp文件的‘MD5Update()’函數(shù)存在基于堆的緩沖區(qū)越邊界讀取漏洞,該漏洞源于XMPFiles/source/FileHandlers/TIFF_Handler.cpp文件沒(méi)有正確的處理長(zhǎng)度為0的情況.攻擊者可借助特制的文件利用該漏洞造成拒絕服務(wù)(崩潰).
CVE-2018-9568 Android是美國(guó)谷歌(Google)公司和開(kāi)放手持設(shè)備聯(lián)盟(簡(jiǎn)稱(chēng)OHA)共同開(kāi)發(fā)的一套以L(fǎng)inux為基礎(chǔ)的開(kāi)源操作系統(tǒng). Android中的network組件存在提權(quán)漏洞.目前尚無(wú)此漏洞的相關(guān)信息,請(qǐng)隨時(shí)關(guān)注CNNVD或廠(chǎng)商公告.
CVE-2019-10092 Apache httpd是美國(guó)阿帕奇(Apache)軟件基金會(huì)的一款專(zhuān)為現(xiàn)代操作系統(tǒng)開(kāi)發(fā)和維護(hù)的開(kāi)源HTTP服務(wù)器. Apache httpd中的mod_proxy錯(cuò)誤頁(yè)面存在跨站腳本漏洞.該漏洞源于WEB應(yīng)用缺少對(duì)客戶(hù)端數(shù)據(jù)的正確驗(yàn)證.攻擊者可利用該漏洞執(zhí)行客戶(hù)端代碼.以下產(chǎn)品及版本受到影響:Apache httpd 2.4.39版本,2.4.38版本,2.4.37版本,2.4.35版本,2.4.34版本,2.4.33版本,2.4.30版本,2.4.29版本,2.4.28版本,2.4.27版本,2.4.26版本,2.4.25版本,2.4.23版本,2.4.20版本,2.4.18版本,2.4.17版本,2.4.16版本,2.4.12版本,2.4.10版本,2.4.9版本,2.4.7版本,2.4.6版本,2.4.4版本,2.4.3版本,2.4.2版本,2.4.1版本,2.4.0版本.
CVE-2019-10181 icedtea-web是一款JSR-56(Java網(wǎng)絡(luò)啟動(dòng)協(xié)議和API)的開(kāi)源實(shí)現(xiàn). icedtea-web 1.7.2及之前版本和1.8.2及之前版本中存在數(shù)據(jù)偽造問(wèn)題漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未充分驗(yàn)證數(shù)據(jù)的來(lái)源或真實(shí)性.攻擊者可利用偽造的數(shù)據(jù)進(jìn)行攻擊.
CVE-2019-10218 Samba是Samba團(tuán)隊(duì)的一套可使UNIX系列的操作系統(tǒng)與微軟Windows操作系統(tǒng)的SMB/CIFS網(wǎng)絡(luò)協(xié)議做連結(jié)的自由軟件.該軟件支持共享打印機(jī)、互相傳輸資料文件等. Samba 4.11.2之前版本、4.10.10之前版本和4.9.15之前版本中存在安全漏洞.該漏洞源于Samba客戶(hù)端腳本代碼沒(méi)有正確處理路徑分隔符.遠(yuǎn)程攻擊者可利用該漏洞造成該客戶(hù)端訪(fǎng)問(wèn)本地路徑名,而不是網(wǎng)絡(luò)路徑名.
CVE-2019-11478 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel中網(wǎng)絡(luò)子系統(tǒng)處理TCP Selective Acknowledgment片段的方法存在資源管理錯(cuò)誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品對(duì)系統(tǒng)資源(如內(nèi)存、磁盤(pán)空間、文件等)的管理不當(dāng).攻擊者可利用該漏洞造成拒絕服務(wù)(消耗大量資源).
CVE-2019-12522 Squid是一套代理服務(wù)器和Web緩存服務(wù)器軟件.該軟件提供緩存萬(wàn)維網(wǎng)、過(guò)濾流量、代理上網(wǎng)等功能. Squid 4.7及之前版本中存在安全漏洞.攻擊者可利用該漏洞將權(quán)限提升至root.
CVE-2019-14584 Tianocore Edk2是Tianocore社區(qū)的一個(gè)遵循UEFI和PI規(guī)范的跨平臺(tái)固件開(kāi)發(fā)環(huán)境. Tianocore Edk2 種存在安全漏洞,以下產(chǎn)品及版本受到影響:Red Hat Enterprise Linux 7,Red Hat Enterprise Linux 8,Ubuntu 21.04 (Hirsute Hippo),Ubuntu 20.10 (Groovy Gorilla),Ubuntu 20.04 LTS (Focal Fossa),Ubuntu 18.04 LTS (Bionic Beaver),Ubuntu 16.04 LTS (Xenial Xerus),Ubuntu 14.04 ESM (Trusty Tahr)Ubuntu 12.04 ESM (Precise Pangolin),SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP2,SUSE Linux Enterprise Module for Server Applications 15 SP1,SUSE Linux Enterprise Module for Server Applications 15 SP2,SUSE Linux Enterprise Module for Server Applications 15 SP2
CVE-2019-14907 Samba是Samba團(tuán)隊(duì)的一套可使UNIX系列的操作系統(tǒng)與微軟Windows操作系統(tǒng)的SMB/CIFS網(wǎng)絡(luò)協(xié)議做連結(jié)的自由軟件.該軟件支持共享打印機(jī)、互相傳輸資料文件等. Samba 4.9.18之前的4.9.x版本、4.10.12之前的4.10.x版本和4.11.5之前的4.11.x版本中存在緩沖區(qū)錯(cuò)誤漏洞.攻擊者可通過(guò)發(fā)送特制的字符串利用該漏洞導(dǎo)致長(zhǎng)期存在的進(jìn)程終止.
CVE-2019-18348 Python是Python軟件基金會(huì)的一套開(kāi)源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言.該語(yǔ)言具有可擴(kuò)展、支持模塊和包、支持多種平臺(tái)等特點(diǎn).urllib是其中的一個(gè)用于處理URL的模塊.urllib2是其中的一個(gè)用于獲取URL(統(tǒng)一資源定位符)的模塊. Python 2.x版本至2.7.17版本中的urllib2和Python 3.x版本至3.8.0版本中的urllib存在注入漏洞.該漏洞源于用戶(hù)輸入構(gòu)造命令、數(shù)據(jù)結(jié)構(gòu)或記錄的操作過(guò)程中,網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品缺乏對(duì)用戶(hù)輸入數(shù)據(jù)的正確驗(yàn)證,未過(guò)濾或未正確過(guò)濾掉其中的特殊元素,導(dǎo)致系統(tǒng)或產(chǎn)品產(chǎn)生解析或解釋方式錯(cuò)誤.
CVE-2019-18802 Envoy是一款開(kāi)源的分布式代理服務(wù)器. Envoy 1.12.0版本中存在緩沖區(qū)錯(cuò)誤漏洞.攻擊者可利用該漏洞繞過(guò)路由匹配并在系統(tǒng)上提升權(quán)限或獲取敏感信息.
CVE-2019-20386 systemd是德國(guó)Lennart Poettering軟件開(kāi)發(fā)者的一款基于Linux的系統(tǒng)和服務(wù)管理器.該產(chǎn)品兼容了SysV和LSB的啟動(dòng)腳本,且提供了一個(gè)用來(lái)表示系統(tǒng)服務(wù)間依賴(lài)關(guān)系的框架. systemd 243之前版本中的login/logind-button.c文件的button_open存在安全漏洞.攻擊者可利用該漏洞造成內(nèi)存泄漏.
CVE-2019-20433 GNU Aspell是一款拼寫(xiě)檢查工具. GNU Aspell 0.60.8之前版本中的libaspell.a文件存在緩沖區(qū)錯(cuò)誤漏洞.本地攻擊者可借助末尾為‘\0’的字符串利用該漏洞獲取敏感信息.
CVE-2020-0551 Intel Core i5 processor和Intel Core i7 processor都是美國(guó)英特爾(Intel)公司的產(chǎn)品.Intel Core i5 processor是一款酷睿(Core)i5系列中央處理器(CPU).Intel Core i7 processor是一款酷睿(Core)i7系列中央處理器(CPU). 多款I(lǐng)ntel產(chǎn)品中預(yù)測(cè)執(zhí)行技術(shù)的使用存在安全漏洞.本地攻擊者可利用該漏洞獲取信息.以下產(chǎn)品及版本受到影響:Intel Core Processor i7-10510Y,Core Processor i5-10310Y;Core Processor i5-10210Y;Core Processor i5-10110Y;Core Processor i7-8500Y;Core Processor i5-8310Y;Core Processor i5-8210Y;Core Processor i5-8200Y等.
CVE-2020-10703 Red Hat libvirt是美國(guó)紅帽(Red Hat)公司的一個(gè)用于實(shí)現(xiàn)Linux虛擬化功能的Linux API,它支持各種Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系統(tǒng)的一些虛擬產(chǎn)品. Red Hat libvirt 6.0.0之前的3.10.0版本中存在代碼問(wèn)題漏洞.攻擊者可利用該漏洞造成libvirt守護(hù)進(jìn)程崩潰,導(dǎo)致拒絕服務(wù).
CVE-2020-12460 OpenDMARC是The Trusted Domain項(xiàng)目的一款DMARC(基于域的消息認(rèn)證、報(bào)告和一致性)規(guī)范的開(kāi)源實(shí)現(xiàn). OpenDMARC 1.3.2及之前版本和1.4.x版本至1.4.0-Beta1版本中的‘opendmarc_xml_parse’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞導(dǎo)致內(nèi)存損壞.
CVE-2020-13700 WordPress是WordPress(Wordpress)基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái).該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站. WordPress acf-to-rest-api 3.1.0及之前版本中存在安全漏洞.攻擊者可利用該漏洞讀取wp_options表中的敏感信息.
CVE-2020-14959 WordPress是WordPress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái).該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站.Easy Testimonials是使用在其中的一個(gè)側(cè)邊欄推薦按鈕插件. WordPress Easy Testimonials 3.6之前版本中存在跨站腳本漏洞.遠(yuǎn)程攻擊者可借助wp-admin/post.php文件中的‘Client Name’,‘Position’,‘Web Address’,‘Other’,‘Location Reviewed’,‘Product Reviewed’,‘Item Reviewed’或‘Rating’參數(shù)利用該漏洞注入任意Web腳本或HTML.
CVE-2020-15078 Openvpn OpenVPN是美國(guó)OpenVPN(Openvpn)公司的一個(gè)用于創(chuàng)建虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)加密通道的軟件包,它使用OpenSSL庫(kù)來(lái)加密數(shù)據(jù)與控制信息,并允許創(chuàng)建的VPN使用公開(kāi)密鑰、電子證書(shū)或者用戶(hù)名/密碼來(lái)進(jìn)行身份驗(yàn)證. OpenVPN 2.5.1版本及之前版本存在安全漏洞,該漏洞允許遠(yuǎn)程攻擊者可利用該漏洞繞過(guò)配置了延遲認(rèn)證的服務(wù)器上的認(rèn)證和訪(fǎng)問(wèn)控制通道數(shù)據(jù).
CVE-2020-16121 PackageKit是一個(gè)適用于Linux系統(tǒng)的新的包管理器. PackageKit 中存在安全漏洞.
CVE-2020-17438 Contiki是一套用于IoT(物聯(lián)網(wǎng))設(shè)備的開(kāi)源跨平臺(tái)操作系統(tǒng).Contiki-NG是一套用于下一代IoT(物聯(lián)網(wǎng))設(shè)備的開(kāi)源跨平臺(tái)操作系統(tǒng).TCP(Transmission Control Protocol,傳輸控制協(xié)議)是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議,由IETF的RFC 793定義. uIP 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞源于無(wú)法驗(yàn)證其IP報(bào)頭中指定的傳入數(shù)據(jù)包的總長(zhǎng)度以及IP報(bào)頭中指定的分段偏移值.這可能導(dǎo)致內(nèi)存損壞.
CVE-2020-25626 Django是Django基金會(huì)的一套基于Python語(yǔ)言的開(kāi)源Web應(yīng)用框架.該框架包括面向?qū)ο蟮挠成淦鳌⒁晥D系統(tǒng)、模板系統(tǒng)等. Django 中存在跨站腳本漏洞.該漏洞源于WEB應(yīng)用缺少對(duì)客戶(hù)端數(shù)據(jù)的正確驗(yàn)證.攻擊者可利用該漏洞執(zhí)行客戶(hù)端代碼.
CVE-2020-25645 Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux內(nèi)核 5.9-rc7之前版本存在安全漏洞,該漏洞源于當(dāng)IPsec被配置為加密由Geneve隧道使用的特定UDP端口的流量時(shí),兩個(gè)Geneve端點(diǎn)之間的流量可能是未加密的,允許這兩個(gè)端點(diǎn)之間的任何人讀取未加密的流量.這個(gè)漏洞的主要威脅是數(shù)據(jù)的機(jī)密性.
CVE-2020-26682 libass是個(gè)人開(kāi)發(fā)者的一個(gè)基于 ASS/SSA 格式的字幕渲染器. libass 0.14.0版本存在安全漏洞,該漏洞源于 ass_outline_construct 對(duì) outline stroke 的調(diào)用導(dǎo)致有符號(hào)整數(shù)溢出.
CVE-2020-26797 MediaArea MediaInfo是一款能夠顯示視頻、音頻文件相關(guān)技術(shù)信息的應(yīng)用程序. Mediainfo before version 20.08 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞源于MediaInfoLib::File_Gxf::ChooseParser_ChannelGrouping有一個(gè)堆緩沖區(qū)溢出漏洞.
CVE-2020-27225 Eclipse Platform是 (Eclipse)開(kāi)源的定義了一組框架和公共服務(wù),共同構(gòu)成了支持將Eclipse作為組件模型, 富客戶(hù)端平臺(tái) (RCP)和全面的工具集成平臺(tái)的使用所需的基礎(chǔ)結(jié)構(gòu).用于管理資源的項(xiàng)目模型,用于增量編譯器和構(gòu)建器的自動(dòng)資源增量管理,與語(yǔ)言無(wú)關(guān)的調(diào)試基礎(chǔ)結(jié)構(gòu)以及用于分布式多用戶(hù)版本化資源管理的基礎(chǔ)結(jié)構(gòu). Eclipse Platform versions 4.18 and earlier 存在安全漏洞,該漏洞允許未經(jīng)身份驗(yàn)證的本地攻擊者向相關(guān)的Eclipse平臺(tái)進(jìn)程或Eclipse富客戶(hù)端平臺(tái)進(jìn)程發(fā)出活動(dòng)幫助命令.
CVE-2020-27827 lldpd是一款能夠接收和發(fā)送LLDP幀的守護(hù)程序. Ubuntu lldp 軟件中存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞觸發(fā)拒絕服務(wù)攻擊.以下產(chǎn)品及型號(hào)受到影響:Ubuntu 20.10 openvswitch-common,Ubuntu 20.04 LTS openvswitch-common Ubuntu 18.04 LTS openvswitch-common, Ubuntu 16.04 LTS: openvswitch-common
CVE-2020-35458 Clusterlabs Crmsh是ClusterLabs(Clusterlabs)團(tuán)隊(duì)的一個(gè)適用于GNU/Linux系統(tǒng)用于高可用性集群管理的命令行軟件.
ClusterLabs Hawk 2.x到2.3.0-x 存在代碼注入漏洞,該漏洞源于login_from_cookie cookie 中的 hawk_remember_me_id中存在一個(gè)Ruby 代碼注入,未校驗(yàn)的攻擊者可通過(guò)用戶(hù)退出登錄過(guò)程中引起代碼執(zhí)行.
CVE-2020-35678 Python是Python基金會(huì)的一套開(kāi)源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言.該語(yǔ)言具有可擴(kuò)展、支持模塊和包、支持多種平臺(tái)等特點(diǎn). Python 20.12.3之前版本存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞允許重定向頭注入.
CVE-2020-36176 WordPress是WordPress(Wordpress)基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái).該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站. Wordpress Ithemes Security Plugin 7.7.0 之前版本存在安全漏洞,該漏洞源于不會(huì)強(qiáng)制對(duì)現(xiàn)有帳戶(hù)設(shè)置新密碼,直到第二次登錄.
CVE-2020-36195 Qnap Systems QNAP NAS running Multimedia Console是中國(guó)威聯(lián)通(Qnap Systems)公司的一個(gè)應(yīng)用軟件.一個(gè)多媒體控制臺(tái). QNAP NAS running Multimedia Console 存在安全漏洞,攻擊者可利用該漏洞就可以獲得應(yīng)用程序信息.
CVE-2020-36314 GNOME file-roller是一款使用在GNOME桌面中的壓縮文件管理器. GNOME file-roller 3.38.0版本及之前版本存在路徑遍歷漏洞,該漏洞源于在提取過(guò)程中允許目錄遍歷.
CVE-2020-36326 PHPMailer是一個(gè)用于發(fā)送電子郵件的PHP類(lèi)庫(kù). PHPMailer 6.1.8版本及之前版本6.4.0 存在代碼問(wèn)題漏洞,該漏洞允許通過(guò)具有UNC路徑名的addAttachment通過(guò)Phar反序列化進(jìn)行對(duì)象注入.
CVE-2020-8013 SUSE Linux Enterprise Server是德國(guó)SUSE公司的一套企業(yè)服務(wù)器版Linux操作系統(tǒng). SUSE Linux Enterprise Server中的permissions存在后置鏈接漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未正確過(guò)濾表示非預(yù)期資源的鏈接或者快捷方式的文件名.攻擊者可利用該漏洞訪(fǎng)問(wèn)非法的文件路徑.以下產(chǎn)品及版本受到影響:SUSE Linux Enterprise Server 12版本(permissions 2015.09.28.1626-17.27.1之前版本),SUSE Linux Enterprise Server 15版本(permissions 20181116-9.23.1之前版本),SUSE Linux Enterprise Server 11版本(permissions 2013.1.7-0.6.12.1之前版本).
CVE-2020-8284 HAXX Haxx curl是瑞典Haxx(HAXX)公司的一套利用URL語(yǔ)法在命令行下工作的文件傳輸工具.該工具支持文件上傳和下載,并包含一個(gè)用于程序開(kāi)發(fā)的libcurl(客戶(hù)端URL傳輸庫(kù)). Haxx curl FTP PASV Responses 存在信息泄露漏洞,攻擊者可利用該漏洞通過(guò)curl的FTP PASV響應(yīng)繞過(guò)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)限制,獲取敏感信息.
CVE-2020-8287 Joyent Node.js是美國(guó)Joyent公司的一套建立在Google V8 JavaScript引擎之上的網(wǎng)絡(luò)應(yīng)用平臺(tái).該平臺(tái)主要用于構(gòu)建高度可伸縮的應(yīng)用程序,以及編寫(xiě)能夠處理數(shù)萬(wàn)條且同時(shí)連接到一個(gè)物理機(jī)的連接代碼. Node.js 存在環(huán)境問(wèn)題漏洞,攻擊者可利用該漏洞通過(guò)HTTP Request Smuggling繞過(guò)訪(fǎng)問(wèn)限制,以讀取或更改數(shù)據(jù).以下產(chǎn)品及版本受到影響:before 10.23.1, 12.20.1, 14.15.4, 15.5.1
CVE-2021-1405 Clam AntiVirus是ClamAV(Clamav)團(tuán)隊(duì)的一款用于檢測(cè)木馬,病毒,惡意軟件和其他惡意威脅的開(kāi)源殺毒引擎.
Clam AntiVirus 存在安全漏洞,攻擊者可利用該漏洞可以通過(guò)ClamAV的郵件解析器強(qiáng)制取消對(duì)空指針的引用,從而觸發(fā)拒絕服務(wù).
CVE-2021-20077 Tenable Network Security Nessus是美國(guó)Tenable Network Security公司的一款開(kāi)源的系統(tǒng)漏洞掃描器. Nessus Agent versions 7.2.0 through 8.2.2 存在安全漏洞,攻擊者可利用該漏洞獲得令牌.
CVE-2021-20193 git tar.git是 (git)開(kāi)源的一個(gè)應(yīng)用程序.用于打包壓縮. tar 1.33 and earlier 存在安全漏洞,攻擊者可利用該漏洞可以向tar提交精心制作的輸入文件,從而導(dǎo)致不受控制的內(nèi)存消耗.
CVE-2021-20208 SUSE Linux Enterprise Server是德國(guó)SUSE公司的一套企業(yè)服務(wù)器版Linux操作系統(tǒng). SUSE Linux Enterprise Server 存在安全漏洞,攻擊者可利用該漏洞可以通過(guò)cifs-utils的Kerberos認(rèn)證泄漏轉(zhuǎn)義繞過(guò)限制,從而升級(jí)其權(quán)限.
CVE-2021-20230 Micha?Trojnara Stunnel是 Micha?Trojnara開(kāi)源的一個(gè)應(yīng)用軟件.提供TLS加密功能添加到現(xiàn)有客戶(hù)端和服務(wù)器,而無(wú)需更改程序代碼. Stunnel 存在信任管理問(wèn)題漏洞,該漏洞源于使用重定向和verifyChain選項(xiàng)時(shí),客戶(hù)端證書(shū)沒(méi)有正確驗(yàn)證.以下產(chǎn)品和版本受到影響:stunnel before 5.57
CVE-2021-20254 Samba是Samba團(tuán)隊(duì)的一套可使UNIX系列的操作系統(tǒng)與微軟Windows操作系統(tǒng)的SMB/CIFS網(wǎng)絡(luò)協(xié)議做連結(jié)的自由軟件.該軟件支持共享打印機(jī)、互相傳輸資料文件等. Samba 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞源于在將Windows組標(biāo)識(shí)(sid)映射到unix組標(biāo)識(shí)(gid)時(shí)存在邊界條件,這導(dǎo)致在Samba服務(wù)器進(jìn)程令牌中創(chuàng)建負(fù)面的idmap緩存項(xiàng).以下產(chǎn)品及版本受到影響:Samba: 3.6.0, 3.6.1, 3.6.2, 3.6.3, 3.6.4, 3.6.5, 3.6.6, 3.6.7, 3.6.8, 3.6.9, 3.6.10, 3.6.11, 3.6.12, 3.6.13, 3.6.14, 3.6.15, 3.6.16, 3.6.17, 3.6.18, 3.6.19, 3.6.20, 3.6.21, 3.6.22, 3.6.23, 3.6.24, 3.6.25, 4.0.0, 4.0.1, 4.0.2, 4.0.3, 4.0.4, 4.0.5, 4.0.6, 4.0.7, 4.0.8, 4.0.9, 4.0.10, 4.0.11, 4.0.12, 4.0.13, 4.0.14, 4.0.15, 4.0.16, 4.0.17, 4.0.18, 4.0.19, 4.0.20, 4.0.21, 4.0.22, 4.0.23, 4.0.24, 4.0.25, 4.0.26, 4.1.0, 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.1.10, 4.1.11, 4.1.12, 4.1.13, 4.1.14, 4.1.15, 4.1.16, 4.1.17, 4.1.18, 4.1.19, 4.1.20, 4.1.21, 4.1.22, 4.1.23, 4.2.0, 4.2.1, 4.2.2, 4.2.3, 4.2.4, 4.2.5, 4.2.6, 4.2.7, 4.2.8, 4.2.9, 4.2.10, 4.2.11, 4.2.12, 4.2.13, 4.2.14, 4.3.0, 4.3.1, 4.3.2, 4.3.3, 4.3.4, 4.3.5, 4.3.6, 4.3.7, 4.3.8, 4.3.9, 4.3.10, 4.3.11, 4.3.12, 4.3.13, 4.4.0, 4.4.0 rc4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, 4.4.5, 4.4.6, 4.4.7, 4.4.8, 4.4.9, 4.4.10, 4.4.11, 4.4.12, 4.4.13, 4.4.14, 4.4.15, 4.4.16, 4.5.0, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 4.5.6, 4.5.7, 4.5.8, 4.5.9, 4.5.10, 4.5.11, 4.5.12, 4.5.13, 4.5.14, 4.5.15, 4.5.16, 4.6.0, 4.6.1, 4.6.2, 4.6.3, 4.6.4, 4.6.5, 4.6.6, 4.6.7, 4.6.8, 4.6.9, 4.6.10, 4.6.11, 4.6.12, 4.6.13, 4.6.14, 4.6.15, 4.6.16, 4.7.0, 4.7.1, 4.7.2, 4.7.3, 4.7.4, 4.7.5, 4.7.6, 4.7.7, 4.7.8, 4.7.9, 4.7.10, 4.7.11, 4.7.12, 4.8.0, 4.8.1, 4.8.2, 4.8.3, 4.8.4, 4.8.5, 4.8.6, 4.8.7, 4.8.8, 4.8.9, 4.8.10, 4.8.11, 4.8.12, 4.9.0, 4.9.1, 4.9.2, 4.9.3, 4.9.4, 4.9.5, 4.9.6, 4.9.7, 4.9.8, 4.9.9, 4.9.10, 4.9.11, 4.9.12, 4.9.13, 4.9.14, 4.9.15, 4.9.16, 4.9.17, 4.9.18, 4.10.0, 4.10.1, 4.10.2, 4.10.3, 4.10.4, 4.10.5, 4.10.6, 4.10.7, 4.10.8, 4.10.9, 4.10.10, 4.10.11, 4.10.12, 4.10.13, 4.10.14, 4.10.15, 4.10.16, 4.10.17, 4.10.18, 4.11.0, 4.11.1, 4.11.2, 4.11.3, 4.11.4, 4.11.5, 4.11.6, 4.11.7, 4.11.8, 4.11.9, 4.11.10, 4.11.11, 4.11.12, 4.11.13, 4.11.14, 4.11.15, 4.11.16, 4.11.17, 4.12.0, 4.12.1, 4.12.2, 4.12.3, 4.12.4, 4.12.5, 4.12.6, 4.12.7, 4.12.8, 4.12.9, 4.12.10, 4.12.11, 4.12.12, 4.12.13, 4.12.14, 4.13.0, 4.13.1, 4.13.2, 4.13.3, 4.13.4, 4.13.5, 4.13.6, 4.13.7, 4.14.0, 4.14.1, 4.14.2, 4.14.3 .
CVE-2021-20277 Samba是Samba團(tuán)隊(duì)的一套可使UNIX系列的操作系統(tǒng)與微軟Windows操作系統(tǒng)的SMB/CIFS網(wǎng)絡(luò)協(xié)議做連結(jié)的自由軟件.該軟件支持共享打印機(jī)、互相傳輸資料文件等. Samba 存在緩沖區(qū)錯(cuò)誤漏洞,攻擊者可利用該漏洞可以通過(guò)AD DC LDAP Server強(qiáng)制讀取無(wú)效地址,以觸發(fā)拒絕服務(wù),或獲取敏感信息.
CVE-2021-20291 Red Hat Ceph Storage是美國(guó)紅帽(Red Hat)公司的一套可擴(kuò)展的、開(kāi)放性的軟件定義存儲(chǔ)平臺(tái). github.com/containers/storage 存在安全漏洞,攻擊者可利用該漏洞制造惡意映像,從而導(dǎo)致拒絕服務(wù)(DoS).
CVE-2021-20297 NetworkManager是一款網(wǎng)絡(luò)管理守護(hù)程序. networkmanager 存在安全漏洞,攻擊者可利用該漏洞可以通過(guò)某些配置文件觸發(fā)致命錯(cuò)誤,從而觸發(fā)拒絕服務(wù).
CVE-2021-20305 Linux Nettle是Linux 基金會(huì)開(kāi)源的一個(gè)應(yīng)用軟件.包含的設(shè)計(jì)適合很容易在許多情況下一個(gè)低級(jí)別的密碼庫(kù). Nettle in versions before 3.7.2 存在加密問(wèn)題漏洞,該漏洞允許攻擊者強(qiáng)制使用無(wú)效簽名,導(dǎo)致斷言失敗或可能的驗(yàn)證.
CVE-2021-20307 lianhaidong libpano13是lianhaidong開(kāi)源的一個(gè)應(yīng)用軟件.一個(gè)pano13庫(kù),是Helmut的Panorama工具的一部分. libpano13 2.9.20~rc2+dfsg-3 and earlier 存在格式化字符串錯(cuò)誤漏洞,該漏洞導(dǎo)致讀寫(xiě)任意內(nèi)存值.
CVE-2021-20326 Mongodb Server是美國(guó)Mongodb公司的一套開(kāi)源的NoSQL數(shù)據(jù)庫(kù).該數(shù)據(jù)庫(kù)提供面向集合的存儲(chǔ)、動(dòng)態(tài)查詢(xún)、數(shù)據(jù)復(fù)制及自動(dòng)故障轉(zhuǎn)移等功能. MongoDB Server v4.4版本至4.4.4版本存在安全漏洞,該漏洞源于授權(quán)執(zhí)行特定類(lèi)型查找查詢(xún)的用戶(hù)可能會(huì)觸發(fā)拒絕服務(wù).
CVE-2021-20714 WordPress 插件是WordPress開(kāi)源的一個(gè)應(yīng)用插件. WordPress 插件 Fastest Cache 存在路徑遍歷漏洞,該漏洞源于處理目錄遍歷序列時(shí)出現(xiàn)輸入驗(yàn)證錯(cuò)誤.以下產(chǎn)品及版本受到影響:WP Fastest Cache: 0.8.3.1, 0.8.3.2, 0.8.3.3, 0.8.3.4, 0.8.3.5, 0.8.6.6, 0.8.6.7, 0.8.6.8, 0.8.6.9, 0.8.7.0, 0.8.7.1, 0.8.7.2, 0.8.7.3, 0.8.7.4, 0.8.7.5, 0.8.7.6, 0.8.7.7, 0.8.7.8, 0.8.7.9, 0.8.8.0, 0.8.8.1, 0.8.8.2, 0.8.8.3, 0.8.8.4, 0.8.8.5, 0.8.8.6, 0.8.8.7, 0.8.8.8, 0.8.8.9, 0.8.9.0, 0.8.9.1, 0.8.9.2, 0.8.9.3, 0.8.9.4, 0.8.9.5, 0.8.9.6, 0.8.9.7, 0.8.9.8, 0.8.9.9, 0.9.0.0, 0.9.0.1, 0.9.0.2, 0.9.0.3, 0.9.0.4, 0.9.0.5, 0.9.0.6, 0.9.0.7, 0.9.0.8, 0.9.0.9, 0.9.1.0, 0.9.1.1, 0.9.1.2, 0.9.1.3, 0.9.1.4, 0.9.1.5, 0.9.1.6 .
CVE-2021-21100 Adobe Bridge是美國(guó)奧多比(Adobe)公司的一款文件查看器. Adobe Bridge存在安全漏洞,該漏洞允許遠(yuǎn)程攻擊者獲得系統(tǒng)上更高的特權(quán).
CVE-2021-21295 Netty是Netty社區(qū)的一款非阻塞I/O客戶(hù)端-服務(wù)器框架,它主要用于開(kāi)發(fā)Java網(wǎng)絡(luò)應(yīng)用程序,如協(xié)議服務(wù)器和客戶(hù)端等. Netty 存在安全漏洞,該漏洞源于請(qǐng)求以HTTP 2流的形式傳入,則被轉(zhuǎn)換為HTTP 1.1對(duì)象.
CVE-2021-21375 Sauwming pjproject是 Sauwming開(kāi)源的一個(gè)應(yīng)用軟件.將信令協(xié)議(SIP)與豐富的多媒體框架和NAT遍歷功能結(jié)合在一起,成為可移植的高級(jí)API,適用于從臺(tái)式機(jī),嵌入式系統(tǒng)到手機(jī)等幾乎所有類(lèi)型的系統(tǒng). pjproject version 2.10 and earlier 存在安全漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù).
CVE-2021-2144 Oracle MySQL Server是美國(guó)甲骨文(Oracle)公司的一款關(guān)系型數(shù)據(jù)庫(kù). MySQL Server 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于MySQL服務(wù)器的Server: Parser組件內(nèi)部輸入驗(yàn)證不正確.以下產(chǎn)品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19 .
CVE-2021-2154 Oracle MySQL Server是美國(guó)甲骨文(Oracle)公司的一款關(guān)系型數(shù)據(jù)庫(kù). MySQL Server 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于MySQL服務(wù)器中的服務(wù)器:DML組件輸入驗(yàn)證不正確.以下產(chǎn)品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33 .
CVE-2021-2160 Oracle MySQL Server是美國(guó)甲骨文(Oracle)公司的一款關(guān)系型數(shù)據(jù)庫(kù). MySQL Server 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于MySQL服務(wù)器的“服務(wù)器優(yōu)化器”組件的輸入驗(yàn)證不正確.以下產(chǎn)品及版本受到影響:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17 .
CVE-2021-2161 Oracle Java SE Embedded是美國(guó)甲骨文(Oracle)公司的一款針對(duì)嵌入式系統(tǒng)的、可移植的應(yīng)用程序的Java平臺(tái). Java SE Embedded: 8u281 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于Oracle GraalVM Enterprise Edition中的Libraries組件的輸入驗(yàn)證不正確.
CVE-2021-2163 Oracle Java SE Embedded是美國(guó)甲骨文(Oracle)公司的一款針對(duì)嵌入式系統(tǒng)的、可移植的應(yīng)用程序的Java平臺(tái). Java SE Embedded 8u281 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于Oracle GraalVM Enterprise Edition中的Libraries組件的輸入驗(yàn)證不正確.
CVE-2021-2213 Oracle MySQL Server是美國(guó)甲骨文(Oracle)公司的一款關(guān)系型數(shù)據(jù)庫(kù). MySQL Server 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于MySQL服務(wù)器的“服務(wù)器優(yōu)化器”組件的輸入驗(yàn)證不正確.以下產(chǎn)品及版本受到影響:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22 .
CVE-2021-22204 exiftool是一個(gè)應(yīng)用軟件.使元數(shù)據(jù)更易于訪(fǎng)問(wèn). ExifTool versions 7.44版本及之前版本存在注入漏洞,該漏洞允許在解析惡意圖像時(shí)任意執(zhí)行代碼.
CVE-2021-22879 Nextcloud是德國(guó)Nextcloud公司的一套開(kāi)源的自托管文件同步和共享的通信應(yīng)用平臺(tái). Nextcloud Desktop client 存在安全漏洞,該漏洞源于對(duì)通過(guò)URL傳遞的用戶(hù)提供的輸入驗(yàn)證不足.遠(yuǎn)程攻擊者可利用該漏洞破壞受影響的系統(tǒng).
CVE-2021-22884 Nodejs Core是OpenJS(Openjs)基金會(huì)的一個(gè)編譯到Nodejs中的核心模塊.該模塊為Nodejs提供底層的TCP,HTTP,DNS,文件系統(tǒng),子進(jìn)程等功能支持. Node Core 存在安全漏洞,攻擊者可利用該漏洞可以通過(guò)DNS重新綁定節(jié)點(diǎn)核心的Localhost6,利用漏洞來(lái)運(yùn)行代碼.以下產(chǎn)品和版本受到影響:Node.js before 10.24.0, 12.21.0, 14.16.0, and 15.10.0
CVE-2021-24217 WordPress 插件是WordPress開(kāi)源的一個(gè)應(yīng)用插件. WordPress 插件 Facebook for WordPress插件 3.0.0版本之前存在安全漏洞,該漏洞源于插件的run_action函數(shù)反序列化用戶(hù)提供的數(shù)據(jù),從而有可能提供PHP對(duì)象,從而創(chuàng)建對(duì)象注入漏洞.
CVE-2021-24218 WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái).該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站.WordPress 插件是WordPress開(kāi)源的一個(gè)應(yīng)用插件. Facebook WordPress插件 3.0.4版本之前存在跨站請(qǐng)求偽造漏洞,該漏洞源于Facebook WordPress插件的ajax操作由于缺乏nonce保護(hù)而容易受到CSRF的攻擊.
CVE-2021-24241 WordPress是WordPress(Wordpress)基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái).該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站. WordPress plugin Advanced Custom Fields Pro 5.9.1 之前版本存在跨站腳本漏洞,該漏洞源于沒(méi)有正確地轉(zhuǎn)義生成的更新URL,導(dǎo)致在更新設(shè)置頁(yè)面反映跨站點(diǎn)腳本問(wèn)題.
CVE-2021-25214 ISC BIND是美國(guó)ISC公司的一套實(shí)現(xiàn)了DNS協(xié)議的開(kāi)源軟件. ISC BIND 存在安全漏洞,該漏洞導(dǎo)致接收已命名服務(wù)器無(wú)意中從區(qū)域數(shù)據(jù)庫(kù)中刪除有問(wèn)題的區(qū)域的SOA記錄.
CVE-2021-25215 ISC BIND是美國(guó)ISC公司的一套實(shí)現(xiàn)了DNS協(xié)議的開(kāi)源軟件. BIND 存在安全漏洞,該漏洞源于回答DNAME的查詢(xún)時(shí),斷言檢查可能會(huì)失敗 需要處理DNAME才能解決的記錄.
CVE-2021-25216 ISC BIND是美國(guó)ISC公司的一套實(shí)現(xiàn)了DNS協(xié)議的開(kāi)源軟件. BIND 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞源于BIND的GSSAPI安全策略.
CVE-2021-25316 Fabrice Fontaine s390-tools 是 (Fabrice Fontaine)開(kāi)源的一個(gè)應(yīng)用軟件.提供s390 Linux內(nèi)核和設(shè)備驅(qū)動(dòng)程序一起使用的用戶(hù)空間實(shí)用程序的源樹(shù). s390-tools 存在安全漏洞,攻擊者可利用該漏洞可以創(chuàng)建一個(gè)符號(hào)鏈接,以改變指向的文件.
CVE-2021-26720 Avahi是一套用于Linux的本地服務(wù)發(fā)現(xiàn)工具. Debian avahi 中存在后置鏈接漏洞,該漏洞并允許本地攻擊者通過(guò)對(duì)/run/avahi-daemon下的文件進(jìn)行符號(hào)鏈接攻擊來(lái)造成拒絕服務(wù)或創(chuàng)建任意空文件.
CVE-2021-26813 python-markdown2是一款基于Python的Markdown文本標(biāo)記格式的實(shí)現(xiàn). python-markdown2 >=1.0.1.18 存在安全漏洞,該漏洞源于受正則表達(dá)式拒絕服務(wù).
CVE-2021-27379 Xen是英國(guó)劍橋(Cambridge)大學(xué)的一款開(kāi)源的虛擬機(jī)監(jiān)視器產(chǎn)品.該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運(yùn)行在同一臺(tái)計(jì)算機(jī)上,并支持在運(yùn)行時(shí)進(jìn)行遷移,保證正常運(yùn)行并且避免宕機(jī). Xen 中存在安全漏洞.該漏洞源于允許x86 Intel HVM來(lái)賓操作系統(tǒng)用戶(hù)實(shí)現(xiàn)非預(yù)期的讀/寫(xiě)DMA訪(fǎng)問(wèn),并可能導(dǎo)致拒絕服務(wù)(主機(jī)操作系統(tǒng)崩潰)或獲得權(quán)限.以下產(chǎn)品及版本受到影響:Xen 4.11.x 版本.
CVE-2021-27918 Zhangfannie go是 Zhangfannie開(kāi)源的一個(gè)應(yīng)用軟件.提供一種開(kāi)放源代碼編程語(yǔ)言,可輕松構(gòu)建簡(jiǎn)單,可靠和高效的軟件. Go before 1.15.9 and 1.16.x before 1.16.1 存在安全漏洞,該漏洞源于TokenReader返回元素中間的EOF,會(huì)有一個(gè)無(wú)限循環(huán).
CVE-2021-28242 b2evolution是一套基于PHP和MySQL的社區(qū)內(nèi)容管理系統(tǒng). b2evolution v7.2.2-stable 存在命令注入漏洞,該漏洞允許遠(yuǎn)程攻擊者可利用該漏洞在“Collections”選項(xiàng)卡下創(chuàng)建新的過(guò)濾器時(shí),通過(guò)將SQL命令注入“cf name”參數(shù)來(lái)獲取敏感的數(shù)據(jù)庫(kù)信息.
CVE-2021-28280 Phpfusion是英國(guó)Phpfusion公司的一個(gè)輕量級(jí)內(nèi)容管理系統(tǒng). PHPFusion 9.03.110 存在安全漏洞,該漏洞允許遠(yuǎn)程攻擊者可利用該漏洞注入任意web腳本或HTML.
CVE-2021-28374 Debian courier-authlib是 (Debian)開(kāi)源的一個(gè)應(yīng)用軟件.為其他Courier應(yīng)用程序提供身份驗(yàn)證服務(wù). Debian courier-authlib package before 0.71.1-2 存在配置錯(cuò)誤漏洞,該漏洞源于在某些配置中可能包含明文密碼.
CVE-2021-28421 jjceresa fluidsynth是jjceresa開(kāi)源的一個(gè)應(yīng)用程序.通過(guò)使用SoundFont通過(guò)讀取和處理MIDI輸入設(shè)備中的MIDI事件來(lái)生成音頻. FluidSynth 2.1.7 存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行或拒絕服務(wù)(DoS).
CVE-2021-28449 Microsoft Office和Microsoft Excel都是美國(guó)微軟(Microsoft)公司的產(chǎn)品.Microsoft Office是一款辦公軟件套件產(chǎn)品.該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等.Microsoft Excel是一款Office套件中的電子表格處理軟件. Microsoft Office 遠(yuǎn)程執(zhí)行代碼漏洞.以下產(chǎn)品和版本受到影響:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Excel 2016 (32-bit edition),Microsoft Excel 2016 (64-bit edition),Microsoft Office 2016 (32-bit edition),Microsoft Office 2016 (64-bit edition),Microsoft Excel 2010 Service Pack 2 (32-bit editions),Microsoft Excel 2010 Service Pack 2 (64-bit editions),Microsoft Excel 2013 RT Service Pack 1,Microsoft Excel 2013 Service Pack 1 (32-bit editions),Microsoft Excel 2013 Service Pack 1 (64-bit editions),Microsoft Office 2010 Service Pack 2 (32-bit editions),Microsoft Office 2010 Service Pack 2 (64-bit editions),Microsoft Office 2013 RT Service Pack 1,Microsoft Office 2013 Service Pack 1 (32-bit editions),Microsoft Office 2013 Service Pack 1 (64-bit editions).
CVE-2021-28452 Microsoft Office和Microsoft Outlook都是美國(guó)微軟(Microsoft)公司的產(chǎn)品.Microsoft Office是一款辦公軟件套件產(chǎn)品.該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等.Microsoft Outlook是一套電子郵件應(yīng)用程序. Microsoft Outlook 內(nèi)存損壞漏洞.以下產(chǎn)品和版本受到影響:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Outlook 2016 (32-bit edition),Microsoft Outlook 2016 (64-bit edition),Microsoft Outlook 2013 Service Pack 1 (32-bit editions),Microsoft Outlook 2013 Service Pack 1 (64-bit editions),Microsoft Outlook 2010 Service Pack 2 (32-bit editions),Microsoft Outlook 2010 Service Pack 2 (64-bit editions),Microsoft Outlook 2013 RT Service Pack 1.
CVE-2021-28453 Microsoft Word是美國(guó)微軟(Microsoft)公司的一套Office套件中的文字處理軟件. Microsoft Word 存在代碼注入漏洞.以下產(chǎn)品和版本受到影響:Microsoft Word 2016 (32-bit edition),Microsoft Word 2016 (64-bit edition),Microsoft Office 2010 Service Pack 2 (32-bit editions),Microsoft Office 2010 Service Pack 2 (64-bit editions),Microsoft Office Web Apps 2010 Service Pack 2,Microsoft Office Web Apps Server 2013 Service Pack 1,Microsoft SharePoint Server 2010 Service Pack 2,Microsoft Word 2010 Service Pack 2 (32-bit editions),Microsoft Word 2010 Service Pack 2 (64-bit editions),Microsoft Word 2013 RT Service Pack 1,Microsoft Word 2013 Service Pack 1 (32-bit editions),Microsoft Word 2013 Service Pack 1 (64-bit editions),Microsoft SharePoint Enterprise Server 2016,Microsoft SharePoint Enterprise Server 2013 Service Pack 1,Microsoft SharePoint Server 2019,Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft Office 2019 for Mac,Microsoft Office Online Server,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems.
CVE-2021-28454 Microsoft Excel是美國(guó)微軟(Microsoft)公司的一款Office套件中的電子表格處理軟件. Microsoft Excel 存在資源管理錯(cuò)誤漏洞.以下產(chǎn)品和版本受到影響:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft Office Online Server,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Excel 2016 (32-bit edition),Microsoft Excel 2016 (64-bit edition),Microsoft Office 2016 (32-bit edition),Microsoft Office 2016 (64-bit edition),Microsoft Excel 2010 Service Pack 2 (32-bit editions),Microsoft Excel 2010 Service Pack 2 (64-bit editions),Microsoft Excel 2013 RT Service Pack 1,Microsoft Excel 2013 Service Pack 1 (32-bit editions),Microsoft Excel 2013 Service Pack 1 (64-bit editions),Microsoft Office 2010 Service Pack 2 (32-bit editions),Microsoft Office 2010 Service Pack 2 (64-bit editions),Microsoft Office 2013 RT Service Pack 1,Microsoft Office 2013 Service Pack 1 (32-bit editions),Microsoft Office 2013 Service Pack 1 (64-bit editions),Microsoft Office Web Apps Server 2013 Service Pack 1.
CVE-2021-28657 Apache Tika是美國(guó)阿帕奇(Apache)基金會(huì)的一個(gè)集成了POI(使用Java程序?qū)icrosoftOffice格式文檔提供讀和寫(xiě)功能的開(kāi)源函數(shù)庫(kù))、Pdfbox(讀取和創(chuàng)建PDF文檔的純Java類(lèi)庫(kù))并為文本抽取工作提供了統(tǒng)一界面的內(nèi)容抽取工具集合. tika-parsers 存在安全漏洞,該漏洞源于MP3Parser中的無(wú)限循環(huán).
CVE-2021-28658 Django是Django基金會(huì)的一套基于Python語(yǔ)言的開(kāi)源Web應(yīng)用框架.該框架包括面向?qū)ο蟮挠成淦?、視圖系統(tǒng)、模板系統(tǒng)等. Django 2.2至2.2.20, 3.0至3.0.14, 3.1至3.1.8 存在路徑遍歷漏洞,該漏洞允許通過(guò)上傳的具有合適文件名的文件來(lái)遍歷目錄.
CVE-2021-28899 LIVE555 Streaming Media是美國(guó)LIVE555公司的一個(gè)應(yīng)用軟件.一個(gè)基于標(biāo)準(zhǔn)的RTP/RTCP/RTSP/SIP多媒體流的源代碼庫(kù),適用于嵌入式和/或低成本流應(yīng)用. LIVE555 Streaming Media 2021.3.16之前版本存在安全漏洞,該漏洞源于AC3AudioFileServerMediaSubsession, ADTSAudioFileServerMediaSubsession, and AMRAudioFileServerMediaSubsessionLive OnDemandServerMediaSubsession subclasses.
CVE-2021-28963 Shibboleth是英國(guó)Shibboleth公司的一套基于Windows平臺(tái)的開(kāi)源的SAML協(xié)議的Web單點(diǎn)登錄系統(tǒng). Shibboleth Service Provider before 3.2.1 存在安全漏洞,該漏洞源于模板生成使用攻擊者控制的參數(shù).
CVE-2021-28965 Sutou Kouhei rexml是Sutou Kouhei開(kāi)源的一個(gè)應(yīng)用軟件.支持樹(shù)和流文檔解析. REXML 存在代碼問(wèn)題漏洞,該漏洞源于解析和序列化一個(gè)精心制作的XML文檔時(shí),可能會(huì)創(chuàng)建一個(gè)結(jié)構(gòu)與原始文檔不同的錯(cuò)誤XML文檔.
CVE-2021-29136 Aleksa Sarai umoci modifies Open Container images是Aleksa Sarai開(kāi)源的一個(gè)應(yīng)用軟件.OCI圖像規(guī)范的參考實(shí)現(xiàn),可為用戶(hù)提供創(chuàng)建,操作容器圖像以及與容器圖像進(jìn)行交互的能力. Open Container Initiative umoci 0.4.7之前版本存在安全漏洞,該漏洞源于攻擊者可利用該漏洞通過(guò)一個(gè)精心制作的圖像覆蓋任意主機(jī)路徑.
CVE-2021-29421 jbarlow83 pikepdf是jbarlow83開(kāi)源的一個(gè)應(yīng)用軟件.一個(gè)用于讀取和寫(xiě)入PDF文件的Python庫(kù). pikepdf package 1.3.0 through 2.9.2 存在安全漏洞,該漏洞源于在解析XMP元數(shù)據(jù)項(xiàng)時(shí)允許XXE.
CVE-2021-29424 Perl是Perl(PERL)社區(qū)的一款通用、解釋型、動(dòng)態(tài)的跨平臺(tái)編程語(yǔ)言. Perl 2.0000之前版本存在安全漏洞,該漏洞源于沒(méi)有正確地考慮IP地址字符串開(kāi)頭的多余零字符,攻擊者可利用該漏洞繞過(guò)基于IP地址的訪(fǎng)問(wèn)控制.
CVE-2021-29425 Apache Commons IO是美國(guó)阿帕奇基金會(huì)(Apache)公司的一個(gè)應(yīng)用程序.提供一個(gè)幫助開(kāi)發(fā)IO功能. Apache Commons IO 2.2版本至2.6版本存在路徑遍歷漏洞,該漏洞源于當(dāng)使用不正確的輸入字符串(例如“ //../foo”或“ .. foo”)調(diào)用FileNameUtils.normalize方法時(shí),則可能會(huì)提供對(duì)父目錄中文件的訪(fǎng)問(wèn)權(quán)限.
CVE-2021-29448 Pi-hole是Pi-hole公司的一款網(wǎng)絡(luò)級(jí)廣告攔截應(yīng)用程序. Pi-hole 存在跨站腳本漏洞,該漏洞源于惡意參與者可以通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)DNS服務(wù)器利用該門(mén)戶(hù).
CVE-2021-29449 Pi-hole是Pi-hole公司的一款網(wǎng)絡(luò)級(jí)廣告攔截應(yīng)用程序. Pi-hole core 5.2.4 存在安全漏洞,該漏洞源于Linux網(wǎng)絡(luò)級(jí)的廣告和互聯(lián)網(wǎng)跟蹤攔截應(yīng)用程序.
CVE-2021-29462 UPnP是Open Connectivity Foundation基金會(huì)的一款通用即插即用協(xié)議. UPnP Devices 中的Portable SDK 1.14.6版本及之后版本存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于它不檢查“主機(jī)”報(bào)頭的值.
CVE-2021-29472 composer是 開(kāi)源的一個(gè)應(yīng)用軟件.提供一個(gè)聲明,管理和安裝PHP項(xiàng)目的依賴(lài)項(xiàng).
Composer 存在參數(shù)注入漏洞,該漏洞源于composer.json和包源代碼下載url沒(méi)有被正確地清除.
CVE-2021-29477 Redis Labs Redis是美國(guó)Redis Labs公司的一套開(kāi)源的使用ANSI C編寫(xiě)、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值(Key-Value)存儲(chǔ)數(shù)據(jù)庫(kù),并提供多種語(yǔ)言的API. Redis 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于STRALGO LCS命令整數(shù)溢出,遠(yuǎn)程攻擊者可利用該漏洞在目標(biāo)系統(tǒng)上執(zhí)行任意代碼.以下產(chǎn)品及版本受影響:Redis: 6.0.0、6.0.1、6.0.2、6.0.3、6.0.4、6.0.5、6.0.6、6.0.7、6.0.8、6.0.9、6.0.10、6.0.11、6.0.12、6.2.0、6.2.1、6.2.2.
CVE-2021-29478 Redis Labs Redis是美國(guó)Redis Labs公司的一套開(kāi)源的使用ANSI C編寫(xiě)、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值(Key-Value)存儲(chǔ)數(shù)據(jù)庫(kù),并提供多種語(yǔ)言的API. Redis 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于針對(duì)大型intsets的COPY命令中存在整數(shù)溢出.遠(yuǎn)程攻擊者可利用該漏洞可以將專(zhuān)門(mén)設(shè)計(jì)的數(shù)據(jù)傳遞給應(yīng)用程序,觸發(fā)整數(shù)溢出,并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼.以下產(chǎn)品和版本的影響:Redis: 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.6.8, 2.6.9, 2.6.10, 2.6.11, 2.6.12, 2.6.13, 2.6.14, 2.6.15, 2.6.16, 2.6.17, 2.8.0, 2.8.1, 2.8.2, 2.8.3, 2.8.4, 2.8.5, 2.8.6, 2.8.7, 2.8.8, 2.8.9, 2.8.10, 2.8.11, 2.8.12, 2.8.13, 2.8.14, 2.8.15, 2.8.16, 2.8.17, 2.8.18, 2.8.19, 2.8.20, 2.8.21, 2.8.22, 2.8.23, 2.8.24, 3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5, 3.2.6, 3.2.7, 3.2.8, 3.2.9, 3.2.10, 3.2.11, 3.2.12, 3.2.13, 4.0.0, 4.0.1, 4.0.2, 4.0.3, 4.0.4, 4.0.5, 4.0.6, 4.0.7, 4.0.8, 4.0.9, 4.0.10, 4.0.11, 4.0.12, 4.0.13, 4.0.14, 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.0.4, 5.0.5, 5.0.6, 5.0.7, 5.0.8, 5.0.9, 5.0.10, 5.0.11, 5.0.12, 6.0.0, 6.0.1, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7, 6.0.8, 6.0.9, 6.0.10, 6.0.11, 6.0.12, 6.2.0, 6.2.1, 6.2.2.
CVE-2021-30004 hostapd是一款訪(fǎng)問(wèn)點(diǎn)和身份驗(yàn)證服務(wù)器的用戶(hù)空間守護(hù)程序.wpa_supplicant是一款跨平臺(tái)的WPA請(qǐng)求程序.該程序支持WEP、WPA和WPA2等. wpa_supplicant and hostapd 2.9 存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于tls pkcs1.c和tls x509v3.c算法識(shí)別參數(shù)處理不當(dāng),可能會(huì)發(fā)生偽造攻擊.
CVE-2021-30178 Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel 5.11.11版本及之前版本存在安全漏洞,該漏洞源于arch/x86/kvm/hyperv.c的synic_get有一個(gè)空指針引用.
CVE-2021-30184 GNU Chess是一款開(kāi)源的國(guó)際象棋游戲引擎. GNU Chess 6.2.7 存在安全漏洞,該漏洞允許攻擊者通過(guò)精心制作的PGN數(shù)據(jù)執(zhí)行任意代碼.
CVE-2021-31826 Shibboleth是英國(guó)Shibboleth公司的一套基于Windows平臺(tái)的開(kāi)源的SAML協(xié)議的Web單點(diǎn)登錄系統(tǒng). Shibboleth Service Provider 3.x系列3.2.2之前版本存在安全漏洞,該漏洞容易出現(xiàn)涉及會(huì)話(huà)恢復(fù)特性的NULL指針解引用缺陷.
CVE-2021-3348 Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel through 5.10.12 存在安全漏洞,本地攻擊者可利用該漏洞在設(shè)備安裝過(guò)程中的某個(gè)點(diǎn)通過(guò)IO請(qǐng)求觸發(fā).
CVE-2021-3426 Python pydoc是 (Python)開(kāi)源的一個(gè)python模塊.提供了自動(dòng)利用 Python 模塊生成文檔.生成的文檔可在控制臺(tái)中顯示為文本頁(yè)面,還可在 Web 瀏覽器中查閱,或保存為 HTML 文件功能. python 存在安全漏洞,該漏洞允許通過(guò)pydoc公開(kāi)信息.
CVE-2021-3445 Red Hat libdnf是美國(guó)紅帽(Red Hat)公司的一個(gè)應(yīng)用軟件.提供一個(gè)為libsolv提供簡(jiǎn)化的C和Python API的庫(kù). libdnf 存在安全漏洞,該漏洞源于signature功能允許攻擊者實(shí)現(xiàn)代碼執(zhí)行.
CVE-2021-3448 dnsmasq是一款使用C語(yǔ)言編寫(xiě)的輕量級(jí)開(kāi)源DNS轉(zhuǎn)發(fā)和DHCP、TFTP服務(wù)器. dnsmasq 存在安全漏洞,該漏洞源于隨機(jī)源端口行為被禁用,使得緩存攻擊成為可能.
CVE-2021-3470 Redis Labs Redis是美國(guó)Redis Labs公司的一套開(kāi)源的使用ANSI C編寫(xiě)、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、鍵值(Key-Value)存儲(chǔ)數(shù)據(jù)庫(kù),并提供多種語(yǔ)言的API. Redis 多款產(chǎn)品存在安全漏洞,該漏洞源于當(dāng)使用堆分配器而不是jemalloc或glibc的malloc時(shí),會(huì)導(dǎo)致潛在的寫(xiě)越限或進(jìn)程崩潰.以下產(chǎn)品及版本受到影響:Redis in versions before 5.0.10, before 6.0.9 and before 6.2.
CVE-2021-3472 X.Org X Server是X.Org(X.org)基金會(huì)的一款X Window系統(tǒng)顯示服務(wù)器. X.Org Server 存在數(shù)字錯(cuò)誤漏洞,該漏洞允許本地用戶(hù)升級(jí)系統(tǒng)上的特權(quán).這是由于XChangeFeedbackControl()函數(shù)內(nèi)的整數(shù)下溢.
CVE-2021-3487 GNU Binutils(GNU Binary Utilities或binutils)是GNU社區(qū)的開(kāi)發(fā)的一組編程語(yǔ)言工具程序.該程序主要用于處理多種格式的目標(biāo)文件,并提供有連接器、匯編器和其他用于目標(biāo)文件和檔案的工具. GNU Binutils BFD library 存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞通過(guò)過(guò)度消耗內(nèi)存對(duì)系統(tǒng)可用性造成影響.
CVE-2021-3497 GStreamer是一套用于處理流媒體的框架. GStreamer 1.18.4之前版本存在資源管理錯(cuò)誤漏洞,該漏洞源于對(duì)某些格式錯(cuò)誤的Matroska文件進(jìn)行解析時(shí),可能會(huì)在錯(cuò)誤代碼路徑中訪(fǎng)問(wèn)已釋放的內(nèi)存.
 
 

上一篇:標(biāo)準(zhǔn)化更新-SAS_evt_n_upgrade_package_2021-05

下一篇:Data.2021.05.11.005234