漏掃/基線升級包

csv_vul_plugins_202111

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-11-19    瀏覽次數(shù):
 

升級包下載:SP_003_n_upgrade_package_2021-11-11.zip


漏洞部分列表:
'CVE-1999-0624', 'rstatd服務(wù)檢測(UDP)', '這個遠(yuǎn)程主機(jī)正在通過UDP運(yùn)行RPC rstatd服務(wù).', '如果不需要的話,禁用RPC rstatd服務(wù).'
'CVE-2020-10666', 'Sangoma FreePBX 代碼注入漏洞', 'FreePBX(前稱Asterisk Management Portal)是FreePBX(Freepbx)項(xiàng)目的一套通過GUI(基于網(wǎng)頁的圖形化接口)配置Asterisk(IP電話系統(tǒng))的工具. Sangoma FreePBX 和 PBXact 13, 14, 15版本至15.0.19.2版本中存在安全漏洞.該漏洞允許通過AMI命令的URL變量遠(yuǎn)程執(zhí)行代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://wiki.freepbx.org/display/FOP/List+of+Securities+Vulnerabilities'
'CVE-2013-7338', 'Python‘ZipExtFile._read2()’方法拒絕服務(wù)漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.3.4 RC1及之前的版本的Lib/zipfile.py文件的‘ZipExtFile._read2’函數(shù)中存在安全漏洞.遠(yuǎn)程攻擊者可借助特制的ZIP_STORED或ZIP_DEFLATED文件利用該漏洞造成拒絕服務(wù)(無限循環(huán)和CPU消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://hg.python.org/cpython/rev/79ea4ce431b1'
'CVE-2013-7040', 'Python 加密問題漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.4之前的2.7版本中存在安全漏洞,該漏洞源于程序計(jì)算相同的哈希.攻擊者可借助特制的請求利用該漏洞造成拒絕服務(wù)(CPU消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue14621'
'CVE-2013-2099', 'Python ‘ssl.match_hostname()’ 函數(shù)拒絕服務(wù)漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.2.0至3.2.5版本和3.3.0至3.3.2版本中的ssl.match_hostname功能中存在算法復(fù)雜漏洞.遠(yuǎn)程攻擊者可借助證書中包含多個通配符的通用名稱利用該漏洞造成拒絕服務(wù)(CPU耗盡).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue17980'
'CVE-2013-1753', 'Python xmlrpc客戶端庫資源管理錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.4及之前版本中的xmlrpc客戶端庫中的gzip_decode函數(shù)存在資源管理錯誤漏洞.遠(yuǎn)程攻擊者可通過特制的HTTP請求利用該漏洞導(dǎo)致拒絕服務(wù)(內(nèi)存消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: https://www.python.org/download/releases/3.4.0/'
'CVE-2013-4238', 'Python SSL模塊安全繞過漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.6至3.4版本中的SSL模塊中的‘ssl.match_hostname’函數(shù)中存在安全漏洞,SSL模塊沒有正確處理X.509證書的Subject Alternative Name字段中帶有空字節(jié)的主機(jī)名.攻擊者可通過中間人攻擊利用該漏洞欺騙SSL服務(wù)器.成功的利用此漏洞需要獲得由權(quán)威機(jī)構(gòu)簽署并且客戶信任的證書.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue18709'
'CVE-2018-15715', 'Zoom Client 安全漏洞', 'Zoom Client是美國Zoom公司的一款支持多種平臺的視頻會議終端. Zoom Client中存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞移除會議參加者、偽造用戶消息或劫持共享屏幕.以下版本受到影響:基于Windows平臺的Zoom Client 4.1.34814.1119之前版本,基于Mac OS的Zoom Client 4.1.34801.1116之前版本,基于Linux平臺的Zoom Client 2.4.129780.0915及之前版本.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://support.zoom.us/hc/en-us/sections/201214205-Release-Notes'
'CVE-2021-42340', 'Apache Tomcat DoS漏洞(10月2021)- Linux', 'Apache Tomcat容易被拒絕服務(wù)(DoS) 脆弱性.', '升級至8.5.72、9.0.54、10.0.12、10.1.0-M6或 以后.'
'CVE-2021-42340', 'Apache Tomcat DoS漏洞(', 'Apache Tomcat容易被拒絕服務(wù)(DoS) 脆弱性.', '升級至8.5.72、9.0.54、10.0.12、10.1.0-M6或 以后.'
'CVE-2021-23368', 'Andrey Sitnik postcss 安全漏洞', 'Andrey Sitnik postcss是Andrey Sitnik開源的一個應(yīng)用程序.用于使用JS插件轉(zhuǎn)換樣式的工具. Postcss 7.0.0版本和8.2.10版本之前存在安全漏洞,該漏洞會使程序在源映射解析期間受到正則表達(dá)式拒絕服務(wù)(ReDoS)的攻擊.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/postcss/postcss/commit/b6f3e4d5a8d7504d553267f80384373af3a3dec5'
'CVE-2021-36097', 'OTRS權(quán)限繞過漏洞(OSA-2021-20)', 'OTRS容易出現(xiàn)權(quán)限繞過漏洞.', '更新到8.0.17或更高版本.'
'CVE-2017-15048, CVE-2017-15049', '變焦端<2.0.115900.1201多重漏洞(10月2017)- Linux', 'CVE-2017-15048:Zoom client for Linux是美國Zoom公司的一款基于Linux平臺的視頻會議終端. 基于Linux平臺的Zoom client 2.0.115900.1201之前的版本中的ZoomLauncher二進(jìn)制文件存在基于棧的緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼.\nCVE-2017-15049:Zoom client for Linux是美國Zoom公司的一款基于Linux平臺的視頻會議終端. 基于Linux平臺的Zoom client 2.0.115900.1201之前的版本中的ZoomLauncher二進(jìn)制文件存在安全漏洞,該漏洞源于程序沒有正確的過濾用戶的輸入.遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行任意代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://zoom.us/'
'CVE-2021-3711, CVE-2021-22926, CVE-2021-35604, CVE-2021-35624, CVE-2021-22922,\n\n                CVE-2021-22923, CVE-2021-22924, CVE-2021-22925, CVE-2021-22945, CVE-2021-22946,\n\n                CVE-2021-22947, CVE-2021-3712', 'Oracle MySQL Server <= 5.7.35 / 8.0 <= 8.0.26檢測', 'CVE-2021-3711:OpenSSL是Openssl團(tuán)隊(duì)的一個開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等. openssl 中存在緩沖區(qū)錯誤漏洞,該漏洞源于產(chǎn)品對SM2 plaintext長度的計(jì)算錯誤導(dǎo)致允許越界寫操作.攻擊者可通過該漏洞執(zhí)行惡意代碼.以下產(chǎn)品及版本受到影響:openssl 1.1.1i 796f4f7085ac95a1b0ccee8ff3c6c183219cdab2 之前版本.\nCVE-2021-22926:Slackware是Patrick Volkerding個人開發(fā)者的一套開源的GNU/Linux操作系統(tǒng). Slackware 中存在信任管理問題漏洞,該漏洞源于CURLOPT SSLCERT選項(xiàng)與TLS庫安全傳輸混淆的錯誤.遠(yuǎn)程攻擊者可利用該漏洞可以創(chuàng)建一個具有相同名稱的文件名稱的應(yīng)用程序要使用的名字,從而欺騙應(yīng)用程序使用基于文件的證書.遠(yuǎn)程攻擊者可利用該漏洞危及目標(biāo)系統(tǒng).以下產(chǎn)品及版本受到影響:Slackware Linux 14.0, 14.1, 14.2.\nCVE-2021-22922:Arch Linux是Arch開源的一個應(yīng)用系統(tǒng).一個輕量級且靈活的Linux®發(fā)行版,試圖使它保持簡單. Arch Linux中存在代碼問題漏洞,該漏洞源于未能充分驗(yàn)證用戶輸入的XML數(shù)據(jù),攻擊者可通過該漏洞向受影響的應(yīng)用程序傳遞專門編寫的XML代碼,并查看系統(tǒng)上任意文件的內(nèi)容,或向外部系統(tǒng)發(fā)起請求.以下產(chǎn)品及版本受到影響: Arch Linux Curl 7.78.0-1 之前版本.\nCVE-2021-22923:Arch Linux是Arch開源的一個應(yīng)用系統(tǒng).一個輕量級且靈活的Linux®發(fā)行版,試圖使它保持簡單. Arch Linux中存在信任管理問題漏洞,該漏洞源于該產(chǎn)品未能充分保護(hù)憑證.遠(yuǎn)程攻擊者可利用該漏洞可以訪問目標(biāo)系統(tǒng)上的敏感信息.以下產(chǎn)品及版本受到影響:Arch Linux CURL 7.78.0-1 之前版本.\nCVE-2021-22924:Arch Linux是Arch開源的一個應(yīng)用系統(tǒng).一個輕量級且靈活的Linux®發(fā)行版,試圖使它保持簡單. Arch Linux 中存在信任管理問題漏洞,該漏洞源于產(chǎn)品的配置匹配函數(shù)不能正確處理 issuer cert 并且比較路徑時邏輯錯誤.攻擊者可通過該漏洞訪問系統(tǒng)的敏感信息. 以下產(chǎn)品及版本受到影響:libcurl-gnutls 7.78.0-1 之前版本.\nCVE-2021-22925:Arch Linux是Arch開源的一個應(yīng)用系統(tǒng).一個輕量級且靈活的Linux®發(fā)行版,試圖使它保持簡單. Arch Linux中存在安全漏洞,該漏洞源于處理TELNET請求并解析NEW_ENV時使用了未初始化的變量,遠(yuǎn)程攻擊者可以利用該漏最多讀取1800字節(jié)的影響控制TELNET服務(wù)器. 受影響的產(chǎn)品及版本包括:Arch Linux:所有版本\nCVE-2021-22945:HAXX Haxx libcurl是瑞典HAXX公司的一個免費(fèi)、開源的客戶端URL傳輸庫.該庫支持FTP、FTPS、TFTP、HTTP等. Haxx libcurl 存在資源管理錯誤漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品對系統(tǒng)資源(如內(nèi)存、磁盤空間、文件等)的管理不當(dāng).\nCVE-2021-22946:HAXX Haxx curl是瑞典Haxx(HAXX)公司的一套利用URL語法在命令行下工作的文件傳輸工具.該工具支持文件上傳和下載,并包含一個用于程序開發(fā)的libcurl(客戶端URL傳輸庫). Haxx curl 存在安全漏洞,目前尚無此漏洞的相關(guān)信息,請隨時關(guān)注CNNVD或廠商公告.\nCVE-2021-22947:HAXX Haxx curl是瑞典Haxx(HAXX)公司的一套利用URL語法在命令行下工作的文件傳輸工具.該工具支持文件上傳和下載,并包含一個用于程序開發(fā)的libcurl(客戶端URL傳輸庫). Haxx curl 存在加密問題漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未充分驗(yàn)證數(shù)據(jù)的來源或真實(shí)性.攻擊者可利用偽造的數(shù)據(jù)進(jìn)行攻擊.\nCVE-2021-3712:OpenSSL是Openssl團(tuán)隊(duì)的一個開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等. openssl 存在緩沖區(qū)錯誤漏洞,該漏洞源于產(chǎn)品假設(shè) ASN.1 字符串使用NULL作為終止符.攻擊者可通過制作非NULL終止的字符串發(fā)起攻擊可導(dǎo)致應(yīng)用程序內(nèi)存崩潰或者應(yīng)用程序崩潰.以下產(chǎn)品及版本受到影響:openssl 1.0.2y 之前版本.', 'CVE-2021-3711, CVE-2021-3712:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://git.openssl.org/?p=openssl.git;a=summary\nCVE-2021-22926:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: http://www.slackware.com/security/viewer.php?l=slackware-security&y=2021&m=slackware-security.449558\nCVE-2021-22922, CVE-2021-22923:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://security.archlinux.org/advisory/ASA-202107-59\nCVE-2021-22924:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://security.archlinux.org/advisory/ASA-202107-63\nCVE-2021-22925:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://security.archlinux.org/advisory/ASA-202107-63\nCVE-2021-22945:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://access.redhat.com/security/cve/cve-2021-22945\nCVE-2021-22946:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://curl.se/docs/CVE-2021-22946.html\nCVE-2021-22947:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://access.redhat.com/security/cve/cve-2021-22947'
'CVE-2021-35583, CVE-2021-35537, CVE-2021-35629', 'Oracle MySQL Server 8.0 <= 8.0.25安全更新(cpuoct2021) - Linux', 'Oracle MySQL Server存在多個漏洞.', '更新到8.0.26或更高版本.'
'CVE-2021-35583, CVE-2021-35537, CVE-2021-35629', 'Oracle MySQL Server 8.0 <= 8.0.25安全更新(cpuoct2021) - Windows', 'Oracle MySQL Server存在多個漏洞.', '更新到8.0.26或更高版本.'
'CVE-2021-36222, CVE-2021-35610, CVE-2021-35607, CVE-2021-2481, CVE-2021-35612,\n\n                CVE-2021-35608, CVE-2021-35602, CVE-2021-35577, CVE-2021-2478, CVE-2021-2479,\n\n                CVE-2021-35591, CVE-2021-35596, CVE-2021-35648, CVE-2021-35631, CVE-2021-35626,\n\n                CVE-2021-35627, CVE-2021-35628, CVE-2021-35575, CVE-2021-35634, CVE-2021-35635,\n\n                CVE-2021-35636, CVE-2021-35638, CVE-2021-35641, CVE-2021-35642, CVE-2021-35643,\n\n                CVE-2021-35644, CVE-2021-35645, CVE-2021-35646, CVE-2021-35647, CVE-2021-35630,\n\n                CVE-2021-35637, CVE-2021-35546, CVE-2021-35622, CVE-2021-35639, CVE-2021-35632,\n\n                CVE-2021-35640, CVE-2021-35633, CVE-2021-35625, CVE-2021-35623', 'Oracle MySQL Server 8.0 <= 8.0.26 Security Update (cpuoct2021檢測', 'CVE-2021-36222:MIT Kerberos是美國麻省理工(MIT)的一個用于在網(wǎng)絡(luò)集群中進(jìn)行身份驗(yàn)證的軟件.Kerberos 同時作為一種網(wǎng)絡(luò)認(rèn)證協(xié)議,其設(shè)計(jì)目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù). MIT Kerberos 5 1.18.4 之前版本及1.19.2之前的1.19.x版本存在安全漏洞,該漏洞源于這是因?yàn)榉祷刂禌]有得到正確的管理,導(dǎo)致守護(hù)進(jìn)程崩潰.', 'CVE-2021-36222:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://advisories.stormshield.eu/2021-010/'
'CVE-2021-36222, CVE-2021-35610, CVE-2021-35607, CVE-2021-2481, CVE-2021-35612,\n\n                CVE-2021-35608, CVE-2021-35602, CVE-2021-35577, CVE-2021-2478, CVE-2021-2479,\n\n                CVE-2021-35591, CVE-2021-35596, CVE-2021-35648, CVE-2021-35631, CVE-2021-35626,\n\n                CVE-2021-35627, CVE-2021-35628, CVE-2021-35575, CVE-2021-35634, CVE-2021-35635,\n\n                CVE-2021-35636, CVE-2021-35638, CVE-2021-35641, CVE-2021-35642, CVE-2021-35643,\n\n                CVE-2021-35644, CVE-2021-35645, CVE-2021-35646, CVE-2021-35647, CVE-2021-35630,\n\n                CVE-2021-35637, CVE-2021-35546, CVE-2021-35622, CVE-2021-35639, CVE-2021-35632,\n\n                CVE-2021-35640, CVE-2021-35633, CVE-2021-35625, CVE-2021-35623', 'Oracle MySQL Server 8.0 <= 8.0.26 Security Update (cpuoct2021) - Windows檢測', 'CVE-2021-36222:MIT Kerberos是美國麻省理工(MIT)的一個用于在網(wǎng)絡(luò)集群中進(jìn)行身份驗(yàn)證的軟件.Kerberos 同時作為一種網(wǎng)絡(luò)認(rèn)證協(xié)議,其設(shè)計(jì)目標(biāo)是通過密鑰系統(tǒng)為客戶機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù). MIT Kerberos 5 1.18.4 之前版本及1.19.2之前的1.19.x版本存在安全漏洞,該漏洞源于這是因?yàn)榉祷刂禌]有得到正確的管理,導(dǎo)致守護(hù)進(jìn)程崩潰.', 'CVE-2021-36222:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://advisories.stormshield.eu/2021-010/'
'CVE-2019-11034, CVE-2019-11035', 'PHP 7.1.x <7.1.28, 7.2.x <7.2.17, 7.3.x <7.3.4多個漏洞—Linux', 'CVE-2019-11034:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP EXIF擴(kuò)展中的‘exif_process_IFD_TAG function’函數(shù)存在堆緩沖區(qū)溢出漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.以下版本受到影響:HP EXIF擴(kuò)展7.1.28之前的7.1.x版本,7.2.17之前的7.2.x版本,7.3.4之前的7.3.x版本.\nCVE-2019-11035:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP EXIF擴(kuò)展7.1.28之前的7.1.x版本、7.2.17之前的7.2.x版本和7.3.4之前的7.3.x版本中的‘exif_iif_add_value’函數(shù)存在緩沖區(qū)溢出漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.', 'CVE-2019-11034:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77753\nCVE-2019-11035:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77831'
'CVE-2019-11034, CVE-2019-11035', 'PHP 7.1.x <7.1.28, 7.2.x <7.2.17, 7.3.x <7.3.4多個漏洞- Windows', 'CVE-2019-11034:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP EXIF擴(kuò)展中的‘exif_process_IFD_TAG function’函數(shù)存在堆緩沖區(qū)溢出漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.以下版本受到影響:HP EXIF擴(kuò)展7.1.28之前的7.1.x版本,7.2.17之前的7.2.x版本,7.3.4之前的7.3.x版本.\nCVE-2019-11035:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP EXIF擴(kuò)展7.1.28之前的7.1.x版本、7.2.17之前的7.2.x版本和7.3.4之前的7.3.x版本中的‘exif_iif_add_value’函數(shù)存在緩沖區(qū)溢出漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.', 'CVE-2019-11034:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77753\nCVE-2019-11035:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77831'
'CVE-2019-11036', 'PHP EXIF extension 緩沖區(qū)錯誤漏洞', 'PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP EXIF extension 7.1.29之前的7.1.x版本、7.2.18之前的7.2.x版本和7.3.5之前的7.3.x版本中存在緩沖區(qū)錯誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77950'
'CVE-2019-11036', 'PHP EXIF extension 緩沖區(qū)錯誤漏洞', 'PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP EXIF extension 7.1.29之前的7.1.x版本、7.2.18之前的7.2.x版本和7.3.5之前的7.3.x版本中存在緩沖區(qū)錯誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77950'
'CVE-2019-11038, CVE-2019-11039, CVE-2019-11040', 'PHP 7.1.x <7.1.30, 7.2.x <7.2.19, 7.3.x <7.3.6多個漏洞—Linux', 'CVE-2019-11038:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).GD Graphics Library是使用在其中的一個開源的用于動態(tài)創(chuàng)建圖像的庫. PHP中的GD Graphics Library 2.2.5版本的\\\'gdImageCreateFromXbm()\\\'函數(shù)存在輸入驗(yàn)證錯誤漏洞.攻擊者可利用該漏洞獲取棧中的內(nèi)容.以下產(chǎn)品及版本受到影響:PHP 7.1.30之前的7.1.x版本,7.2.19之前的7.2.x版本,7.3.6之前的7.3.x版本.\nCVE-2019-11039:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng). PHP 7.1.30之前的7.1.x版本、7.2.19之前的7.2.x版本和7.3.6之前的 7.3.x版本中的‘iconv_mime_decode_headers()’函數(shù)存在緩沖區(qū)錯誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.\nCVE-2019-11040:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP中的EXIF擴(kuò)展存在緩沖區(qū)錯誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.以下產(chǎn)品及版本受到影響:PHP 7.1.30之前的7.1.x版本,7.2.19之前的7.2.x版本,7.3.6之前的7.3.x版本.', 'CVE-2019-11038:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/libgd/libgd/issues/501\nCVE-2019-11039:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=78069\nCVE-2019-11040:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77988'
'CVE-2019-11038, CVE-2019-11039, CVE-2019-11040', 'PHP 7.1.x <7.1.30, 7.2.x <7.2.19, 7.3.x <7.3.6多個漏洞—Windows', 'CVE-2019-11038:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).GD Graphics Library是使用在其中的一個開源的用于動態(tài)創(chuàng)建圖像的庫. PHP中的GD Graphics Library 2.2.5版本的\\\'gdImageCreateFromXbm()\\\'函數(shù)存在輸入驗(yàn)證錯誤漏洞.攻擊者可利用該漏洞獲取棧中的內(nèi)容.以下產(chǎn)品及版本受到影響:PHP 7.1.30之前的7.1.x版本,7.2.19之前的7.2.x版本,7.3.6之前的7.3.x版本.\nCVE-2019-11039:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng). PHP 7.1.30之前的7.1.x版本、7.2.19之前的7.2.x版本和7.3.6之前的 7.3.x版本中的‘iconv_mime_decode_headers()’函數(shù)存在緩沖區(qū)錯誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.\nCVE-2019-11040:PHP(PHP:Hypertext Preprocessor,PHP:超文本預(yù)處理器)是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言.該語言主要用于Web開發(fā),支持多種數(shù)據(jù)庫及操作系統(tǒng).EXIF extension是其中的一個用于讀取和編寫圖像元數(shù)據(jù)的擴(kuò)展. PHP中的EXIF擴(kuò)展存在緩沖區(qū)錯誤漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時,未正確驗(yàn)證數(shù)據(jù)邊界,導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作.攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等.以下產(chǎn)品及版本受到影響:PHP 7.1.30之前的7.1.x版本,7.2.19之前的7.2.x版本,7.3.6之前的7.3.x版本.', 'CVE-2019-11038:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/libgd/libgd/issues/501\nCVE-2019-11039:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=78069\nCVE-2019-11040:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.php.net/bug.php?id=77988'
'CVE-2021-21703', 'PHP 5.3.7 - 7.3.31, 7.4.x <7.4.25, 8.0.x <8.0.12安全更新()- Linux', 'PHP發(fā)布了包含安全修復(fù)的新版本.', '更新到版本7.3.32(尚未發(fā)布),7.4.25,8.0.12或 以后.'
'CVE-2021-21703', 'PHP 5.3.7 - 7.3.31, 7.4.x <7.4.25, 8.0.x <8.0.12安全更新()- Windows', 'PHP發(fā)布了包含安全修復(fù)的新版本.', '更新到版本7.3.32(尚未發(fā)布),7.4.25,8.0.12或 以后.'
'CVE-2021-41163', '話語<2.7.9遠(yuǎn)端控制設(shè)備漏洞', '論述容易發(fā)生遠(yuǎn)程代碼執(zhí)行(RCE) 脆弱性.', '升級到2.7.9或更高版本. 為了在不更新的情況下解決這個問題,可以使用路徑啟動/webhooks/aws的請求 阻塞在上游代理.'
'CVE-2021-41163', '2.8話語.x <2.8.0.beta7遠(yuǎn)端控制設(shè)備漏洞', '論述容易發(fā)生遠(yuǎn)程代碼執(zhí)行(RCE) 脆弱性.', '更新到2.8.0版本.beta7或更高版本. 為了在不更新的情況下解決這個問題,可以使用路徑啟動/webhooks/aws的請求 阻塞在上游代理.'
'CVE-2021-25219', 'ISC BIND DoS漏洞(CVE-2021-25219)', 'ISC BIND容易出現(xiàn)拒絕服務(wù)(DoS)漏洞.', '升級到9.11.36、9.16.22、9.17.19、9.11.36- s1版本, 9.16.22-S1或更高版本.'
'CVE-2011-1473, CVE-2011-5094', 'SSL/TLS:重協(xié)商DoS漏洞(CVE-2011-1473、CVE-2011-5094)', 'CVE-2011-1473:OpenSSL是OpenSSL團(tuán)隊(duì)的一個開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等. OpenSSL 0.9.8l之前版本和0.9.8m版本至1.x版本中存在權(quán)限許可和訪問控制問題漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品缺乏有效的權(quán)限許可和訪問控制措施.', 'CVE-2011-1473:目前廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級程序,建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本: http://www.nessus.org/plugins/index.php?view=single&id=53491'
'CVE-2017-1000158', 'CPython 數(shù)字錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言,該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn).CPython(又名Python)是一款用C語言實(shí)現(xiàn)的Python解釋器. \nCPython 2.7.13及之前的版本中的stringobject.c文件的‘PyString_DecodeEscape’函數(shù)存在整數(shù)溢出漏洞.攻擊者可利用該漏洞造成基于堆的緩沖區(qū)溢出并可能執(zhí)行任意代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.python.org/issue30657'
'CVE-2017-1000158', 'CPython 數(shù)字錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言,該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn).CPython(又名Python)是一款用C語言實(shí)現(xiàn)的Python解釋器. \nCPython 2.7.13及之前的版本中的stringobject.c文件的‘PyString_DecodeEscape’函數(shù)存在整數(shù)溢出漏洞.攻擊者可利用該漏洞造成基于堆的緩沖區(qū)溢出并可能執(zhí)行任意代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.python.org/issue30657'
'CVE-2017-1000158', 'CPython 數(shù)字錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言,該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn).CPython(又名Python)是一款用C語言實(shí)現(xiàn)的Python解釋器. \nCPython 2.7.13及之前的版本中的stringobject.c文件的‘PyString_DecodeEscape’函數(shù)存在整數(shù)溢出漏洞.攻擊者可利用該漏洞造成基于堆的緩沖區(qū)溢出并可能執(zhí)行任意代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.python.org/issue30657'
'CVE-2012-0876, CVE-2016-0718, CVE-2016-9063, CVE-2017-9233', 'Python <2.7.14, 3.3.x <3.3.7, 3.4.x <3.4.7, 3.5.x <3.5.4, 3.6.x <3.6.2 Expat 2.2.1 (bpo-30694) - Windows檢測', 'CVE-2012-0876:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat library 2.1.0之前版本中存在多個拒絕服務(wù)漏洞,這些漏洞源于未正確處理特制XML數(shù)據(jù).遠(yuǎn)程攻擊者可利用這些漏洞在使用受影響XML解析庫的應(yīng)用程序上下文中造成拒絕服務(wù).\nCVE-2016-0718:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat中存在安全漏洞.攻擊者可借助畸形的輸入文檔利用該漏洞造成拒絕服務(wù)(崩潰),或執(zhí)行任意代碼.\nCVE-2016-9063:Mozilla Firefox是美國Mozilla基金會開發(fā)的一款開源Web瀏覽器. Mozilla Firefox 50之前的版本中存在以下安全漏洞:1.拒絕服務(wù)漏洞,2.安全繞過漏洞,3.信息泄露漏洞,4.緩沖區(qū)溢出漏洞,5.內(nèi)存損壞漏洞.攻擊者可利用這些漏洞繞過安全限制,執(zhí)行未授權(quán)操作,獲取敏感信息,繞過同源策略,在受影響應(yīng)用程序上下文中執(zhí)行任意代碼,造成拒絕服務(wù).\nCVE-2017-9233:libexpat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個使用C語言編寫的XML解析器庫. libexpat 2.2.0及之前的版本中存在外部實(shí)體注入漏洞.遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(無限循壞).', 'CVE-2012-0876:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://expat.sourceforge.net/\nCVE-2016-0718:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,詳情請關(guān)注廠商主頁: http://www.libexpat.org/\nCVE-2016-9063:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.mozilla.org/en-US/security/advisories/mfsa2016-89/\nCVE-2017-9233:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://libexpat.github.io/doc/cve-2017-9233/'
'CVE-2012-0876, CVE-2016-0718, CVE-2016-9063, CVE-2017-9233', 'Python <2.7.14, 3.3.x <3.3.7, 3.4.x <3.4.7, 3.5.x <3.5.4, 3.6.x <3.6.2 Expat 2.2.1 (bpo-30694) - Mac OS X檢測', 'CVE-2012-0876:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat library 2.1.0之前版本中存在多個拒絕服務(wù)漏洞,這些漏洞源于未正確處理特制XML數(shù)據(jù).遠(yuǎn)程攻擊者可利用這些漏洞在使用受影響XML解析庫的應(yīng)用程序上下文中造成拒絕服務(wù).\nCVE-2016-0718:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat中存在安全漏洞.攻擊者可借助畸形的輸入文檔利用該漏洞造成拒絕服務(wù)(崩潰),或執(zhí)行任意代碼.\nCVE-2016-9063:Mozilla Firefox是美國Mozilla基金會開發(fā)的一款開源Web瀏覽器. Mozilla Firefox 50之前的版本中存在以下安全漏洞:1.拒絕服務(wù)漏洞,2.安全繞過漏洞,3.信息泄露漏洞,4.緩沖區(qū)溢出漏洞,5.內(nèi)存損壞漏洞.攻擊者可利用這些漏洞繞過安全限制,執(zhí)行未授權(quán)操作,獲取敏感信息,繞過同源策略,在受影響應(yīng)用程序上下文中執(zhí)行任意代碼,造成拒絕服務(wù).\nCVE-2017-9233:libexpat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個使用C語言編寫的XML解析器庫. libexpat 2.2.0及之前的版本中存在外部實(shí)體注入漏洞.遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(無限循壞).', 'CVE-2012-0876:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://expat.sourceforge.net/\nCVE-2016-0718:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,詳情請關(guān)注廠商主頁: http://www.libexpat.org/\nCVE-2016-9063:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.mozilla.org/en-US/security/advisories/mfsa2016-89/\nCVE-2017-9233:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://libexpat.github.io/doc/cve-2017-9233/'
'CVE-2012-0876, CVE-2016-0718, CVE-2016-9063, CVE-2017-9233', 'Python <2.7.14, 3.3.x <3.3.7, 3.4.x <3.4.7, 3.5.x <3.5.4, 3.6.x <3.6.2 Expat 2.2.1 (bpo-30694) - Linux檢測', 'CVE-2012-0876:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat library 2.1.0之前版本中存在多個拒絕服務(wù)漏洞,這些漏洞源于未正確處理特制XML數(shù)據(jù).遠(yuǎn)程攻擊者可利用這些漏洞在使用受影響XML解析庫的應(yīng)用程序上下文中造成拒絕服務(wù).\nCVE-2016-0718:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat中存在安全漏洞.攻擊者可借助畸形的輸入文檔利用該漏洞造成拒絕服務(wù)(崩潰),或執(zhí)行任意代碼.\nCVE-2016-9063:Mozilla Firefox是美國Mozilla基金會開發(fā)的一款開源Web瀏覽器. Mozilla Firefox 50之前的版本中存在以下安全漏洞:1.拒絕服務(wù)漏洞,2.安全繞過漏洞,3.信息泄露漏洞,4.緩沖區(qū)溢出漏洞,5.內(nèi)存損壞漏洞.攻擊者可利用這些漏洞繞過安全限制,執(zhí)行未授權(quán)操作,獲取敏感信息,繞過同源策略,在受影響應(yīng)用程序上下文中執(zhí)行任意代碼,造成拒絕服務(wù).\nCVE-2017-9233:libexpat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個使用C語言編寫的XML解析器庫. libexpat 2.2.0及之前的版本中存在外部實(shí)體注入漏洞.遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(無限循壞).', 'CVE-2012-0876:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://expat.sourceforge.net/\nCVE-2016-0718:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,詳情請關(guān)注廠商主頁: http://www.libexpat.org/\nCVE-2016-9063:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.mozilla.org/en-US/security/advisories/mfsa2016-89/\nCVE-2017-9233:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://libexpat.github.io/doc/cve-2017-9233/'
'CVE-2016-1000110', 'Python 輸入驗(yàn)證錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.7.12之前版本中的CGIHandler存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞重定向HTTP請求,進(jìn)而查看敏感信息,回復(fù)畸形的數(shù)據(jù)或造成拒絕服務(wù).', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://www.python.org/'
'CVE-2016-1000110', 'Python 輸入驗(yàn)證錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.7.12之前版本中的CGIHandler存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞重定向HTTP請求,進(jìn)而查看敏感信息,回復(fù)畸形的數(shù)據(jù)或造成拒絕服務(wù).', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://www.python.org/'
'CVE-2016-1000110', 'Python 輸入驗(yàn)證錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.7.12之前版本中的CGIHandler存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞重定向HTTP請求,進(jìn)而查看敏感信息,回復(fù)畸形的數(shù)據(jù)或造成拒絕服務(wù).', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://www.python.org/'
'CVE-2016-2183', 'OpenSSL 信息泄露漏洞', 'OpenSSL是Openssl團(tuán)隊(duì)的一個開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等. OpenSSL 的 TLS、SSH和IPSec協(xié)議和其它協(xié)議及產(chǎn)品中使用的DES和Triple DES密碼算法存在信息泄露漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在運(yùn)行過程中存在配置等錯誤.未授權(quán)的攻擊者可利用漏洞獲取受影響組件敏感信息.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: https://www.openssl.org/blog/blog/2016/08/24/sweet32/'
'CVE-2016-0718, CVE-2016-4472', 'Python <2.7.14, 3.3.x <3.3.7, 3.4.x <3.4.7, 3.5.x <3.5.4, 3.6.x <3.6.2 Expat 2.2 (bpo-29591) - Linux檢測', 'CVE-2016-0718:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat中存在安全漏洞.攻擊者可借助畸形的輸入文檔利用該漏洞造成拒絕服務(wù)(崩潰),或執(zhí)行任意代碼.\nCVE-2016-4472:Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Expat中存在安全漏洞,該漏洞源于使用優(yōu)化設(shè)計(jì)的編譯器會刪除溢出保護(hù).遠(yuǎn)程攻擊者可借助特制的XML數(shù)據(jù)利用該漏洞造成拒絕服務(wù)(崩潰)或執(zhí)行任意代碼.(注:該漏洞源于CNNVD-201507-724和CNNVD-201505-222補(bǔ)丁的不完全修復(fù))', 'CVE-2016-0718:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,詳情請關(guān)注廠商主頁: http://www.libexpat.org/\nCVE-2016-4472:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: https://sourceforge.net/p/expat/code_git/ci/f0bec73b018caa07d3e75ec8dd967f3785d71bde'
'CVE-2015-1283', 'Google Chrome Expat 數(shù)字錯誤漏洞', 'Google Chrome是美國谷歌(Google)公司開發(fā)的一款Web瀏覽器.Expat是美國軟件開發(fā)者吉姆-克拉克所研發(fā)的一個基于C語言的XML解析器庫,它采用了一個面向流的解析器. Google Chrome 44.0.2403.89之前版本中使用的Expat 2.1.0及之前版本中的‘XML_GetBuffer’函數(shù)存在整數(shù)溢出漏洞.遠(yuǎn)程攻擊者可借助特制的XML數(shù)據(jù)利用該漏洞造成拒絕服務(wù)(基于堆的緩沖區(qū)溢出).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://googlechromereleases.blogspot.com/2015/07/stable-channel-update_21.html'
'CVE-2014-9365', 'Python 安全繞過漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言,該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn).CPython(又名Python)是一款用C語言實(shí)現(xiàn)的Python解釋器. \nCpython 2.7.9之前2.x版本和3.4.3之前3.x版本中的httplib、urllib、urllib2和xmlrpclib庫的HTTP客戶端存在安全漏洞,該漏洞源于程序訪問HTTPS URL時,沒有正確驗(yàn)證證書.攻擊者可借助任意有效的證書利用該漏洞實(shí)施中間人攻擊,偽造數(shù)據(jù),欺騙SSL服務(wù)器.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: https://www.python.org/downloads/release/python-279/'
'CVE-2014-7185', 'Python‘bufferobject.c’整數(shù)溢出漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.7.7及之前版本的bufferobject.c文件中存在整數(shù)溢出漏洞.攻擊者可借助特制的‘buffer’函數(shù)利用該漏洞獲取進(jìn)程內(nèi)存中的敏感信息.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue21831'
'CVE-2014-4616', 'Python和simplejson _json模塊信息泄露漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn).simplejson是一個可擴(kuò)展的JSON解碼/編碼器._json module是其中的一個數(shù)據(jù)交換模塊. Python 2.7版本至3.5版本和simplejson 2.6.1之前的版本中的_json模塊的‘scanstring’函數(shù)存在安全漏洞.本地攻擊者可通過向‘raw_decode’函數(shù)發(fā)送帶有負(fù)的指針值的‘idx’參數(shù)利用該漏洞讀取任意的進(jìn)程內(nèi)存.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue21529'
'CVE-2014-2667', 'Python\\\'os._get_masked_mode()\\\'函數(shù)競爭條件漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.2版本至3.5版本的Lib/os.py文件中的‘_get_masked_mode’函數(shù)中存在競爭條件漏洞.當(dāng)程序使用多線程并將exist_ok設(shè)置為“真”時,本地攻擊者可利用該漏洞繞過既定的文件權(quán)限.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue21082'
'CVE-2014-1912', 'Python‘socket.recvfrom_into’函數(shù)緩沖區(qū)錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python的Modules/socketmodule.c文件中的‘socket.recvfrom_into’函數(shù)存在緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可借助特制的字符串利用該漏洞執(zhí)行任意代碼.以下版本受到影響:Python 2.7.7之前的2.5版本,3.3.4之前的3.x版本,3.4rc1之前的3.4.x版本.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue20246'
'CVE-2011-1015', 'Python CGIHTTPServer模塊CGIHTTPServer.py is_cgi方法信息泄露漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.5,2.6和3.0版本中的CGIHTTPServer模塊的CGIHTTPServer.py中的is_cgi方法中存在信息泄露漏洞.由于該模塊沒有正確過濾用戶提供的輸入,導(dǎo)致訪問任意腳本內(nèi)的敏感信息,遠(yuǎn)程攻擊者可以借助HTTP GET請求讀取腳本源代碼,該請求在URI始端缺少/(斜杠)字符.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue2254'
'CVE-2011-1521', 'Python urllib和urllib2模塊信息泄露和拒絕服務(wù)漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.7.2之前的2.x版本和3.2.1之前的3.x版本中的urllib和urllib2模塊將Location頭文件重定向到file: URL.遠(yuǎn)程攻擊者可以借助特制URL獲取敏感信息或者導(dǎo)致拒絕服務(wù)(資源消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue11662'
'CVE-2011-3389', 'Opera 輸入驗(yàn)證錯誤漏洞', 'Opera是挪威歐朋(Opera Software)公司所開發(fā)的一款Web瀏覽器,它支持多窗口瀏覽、可定制用戶界面等. Opera 11.51之前版本中存在未明安全漏洞,該漏洞具有未知攻擊向量和“l(fā)ow severity”影響.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.opera.com/?ref=home'
'CVE-2011-4940', 'Python SimpleHTTPServer ‘list_directory()’函數(shù)跨站腳本漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.5.6c1,2.6.7 rc2之前的2.6.x版本,2.7.2之前的2.7.x版本中的SimpleHTTPServer中的Lib/SimpleHTTPServer.py中的list_directory函數(shù)中存在漏洞,該漏洞源于在Content-Type HTTP頭中未正確放置charset參數(shù).遠(yuǎn)程攻擊者可利用該漏洞通過UTF-7編碼進(jìn)行跨站腳本(XSS)攻擊.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue11442'
'CVE-2011-4944', 'python ‘distutils’ 組件本地競爭條件漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.6至3.2版本在distutils組件創(chuàng)建.pypirc的實(shí)現(xiàn)上存在本地競爭條件漏洞.可以訪問受害者主目錄的攻擊者可利用該漏洞繞過某些權(quán)限限制,泄露敏感信息.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/file23824/pypirc-secure.diff'
'CVE-2012-0845', 'Python拒絕服務(wù)漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.6.8之前版本、2.7.3之前的2.7.x版本、3.1.5之前的3.x版本、3.2.3之前的3.2.x版本中的SimpleXMLRPCServer.py中存在漏洞.遠(yuǎn)程攻擊者可利用該漏洞通過XML-RPC POST超過指定的Content-Length頭的包含較小量的數(shù)據(jù)的請求,導(dǎo)致拒絕服務(wù)(無限循環(huán)和CPU消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue14001'
'CVE-2012-1150', 'Python拒絕服務(wù)漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.6.8之前版本、2.7.3之前的2.7.x版本、3.1.5之前的3.x版本、3.2.3之前的3.2.x版本中存在漏洞,該漏洞源于計(jì)算哈希值時沒有限制能夠觸發(fā)可預(yù)測的散列值沖突.上下文相關(guān)的攻擊者可利用該漏洞通過特制的輸入到保留哈希表的應(yīng)用程序,導(dǎo)致拒絕服務(wù)(CPU消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue13703'
'CVE-2012-2135', 'Python‘unicode_decode_call_errorhandler’函數(shù)敏感信息漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.1版本至3.3版本中的utf-16解碼器中存在漏洞,該漏洞源于調(diào)用unicode_decode_call_errorhandler函數(shù)之后未更新aligned_end變量.遠(yuǎn)程攻擊者可利用該漏洞通過未明向量獲取敏感信息(進(jìn)程內(nèi)存不足)或?qū)е戮芙^服務(wù)(內(nèi)存破壞并崩潰).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue14579'
'CVE-2014-4650', 'Python 路徑遍歷漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 2.7.5版本和3.3.4版本中的CGIHTTPServer模塊存在路徑遍歷漏洞,該漏洞源于程序沒有正確處理URL中編碼的路徑分隔符.攻擊者可借助特制字符序列利用該漏洞獲取CGI腳本的源代碼.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://bugs.python.org/issue21766'
'CVE-2017-18207', 'Python 安全漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.6.4及之前的版本中的Lib/wave.py文件的‘Wave_read._read_fmt_chunk’函數(shù)存在安全漏洞.攻擊者可借助特制的wav格式音頻文件利用該漏洞造成拒絕服務(wù)(除零錯誤和應(yīng)用程序崩潰).', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.python.org/issue32056'
'CVE-2018-1000802', 'Python 命令注入漏洞', 'Python是Python基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python(CPython) 2.7版本中的shutil模塊(make_archive函數(shù))存在命令注入漏洞.攻擊者可通過輸入消息利用該漏洞造成拒絕服務(wù)或獲取信息.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.python.org/issue34540'
'CVE-2018-20852', 'Python 輸入驗(yàn)證錯誤漏洞', 'Python是Python軟件基金會的一套開源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語言.該語言具有可擴(kuò)展、支持模塊和包、支持多種平臺等特點(diǎn). Python 3.7.3之前版本中的Lib/http/cookiejar.py文件存在安全漏洞.攻擊者可利用該漏洞獲取cookies.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://bugs.python.org/issue35121'
'CVE-2012-3448', 'Ganglia 未明PHP代碼執(zhí)行漏洞', 'Ganglia是一個免費(fèi)的、開源的可擴(kuò)展的集群監(jiān)視管理系統(tǒng). Ganglia Web 3.5.1之前版本中存在未明漏洞,該漏洞源于允許遠(yuǎn)程攻擊者執(zhí)行任意代碼.遠(yuǎn)程攻擊者可利用該漏洞在受影響網(wǎng)絡(luò)服務(wù)器進(jìn)程上下文中執(zhí)行任意PHP代碼.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://ganglia.info/?p=549'
'CVE-2013-0275', 'Ganglia Web 多個跨站腳本漏洞', 'Ganglia是一個免費(fèi)的、開源的可擴(kuò)展的集群監(jiān)視管理系統(tǒng). Ganglia Web 3.5.6之前版本中存在多個跨站腳本漏洞.攻擊者利用這些漏洞在受影響站點(diǎn)上下文中不知情用戶瀏覽器中執(zhí)行任意腳本代碼,可竊取基于cookie認(rèn)證證書進(jìn)而發(fā)起其他攻擊.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: https://github.com/ganglia/ganglia-web/commit/31d348947419058c43b8dfcd062e2988abd5058e'
'CVE-2013-6395', 'Ganglia Web ‘get_context.php’跨站腳本漏洞', 'Ganglia Web是一套開源的集群系統(tǒng)監(jiān)視應(yīng)用程序,它可監(jiān)視CPU、內(nèi)存、硬盤利用率、I/O負(fù)載、網(wǎng)絡(luò)流量情況等,以及通過曲線的方式查看每個節(jié)點(diǎn)的工作狀態(tài). Ganglia Web 3.5.8和3.5.10版本中的header.php腳本中存在跨站腳本漏洞,該漏洞源于應(yīng)用程序沒有驗(yàn)證get_context.php腳本中的GET變量.遠(yuǎn)程攻擊者可借助特制的‘host_regex’參數(shù)利用該漏洞注入任意Web腳本或HTML.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: https://github.com/ganglia/ganglia-web/issues/218'
'CVE-2013-1770', 'Ganglia Web ’view_name‘參數(shù)跨站腳本漏洞', 'Ganglia Web是一套開源的集群系統(tǒng)監(jiān)視應(yīng)用程序,它可監(jiān)視CPU、內(nèi)存、硬盤利用率、I/O負(fù)載、網(wǎng)絡(luò)流量情況等,以及通過曲線的方式查看每個節(jié)點(diǎn)的工作狀態(tài). Ganglia Web 3.5.7版本中的views_view.php腳本存在跨站腳本漏洞.遠(yuǎn)程攻擊者可借助‘view_name’參數(shù)利用該漏洞注入任意Web腳本或HTML.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://ganglia.info/'
'CVE-2009-1434', 'Foswiki 會話劫持和跨站請求偽造漏洞', 'Foswiki 1.0.5之前版本存在跨站請求偽造漏洞.遠(yuǎn)程攻擊者可以劫持任意用戶的身份認(rèn)證,以便發(fā)送用于修改頁、更改許可或更改群成員的請求.比如利用一個IMG元素的SRC屬性中的用于保存或查看腳本的一個URL.', ''
'CVE-2012-6330', 'TWiki和Foswiki ‘MAKETEXT’值多個安全漏洞', 'TWiki是美國軟件開發(fā)者Peter Thoeny所研發(fā)的一套基于Perl語言的開源Wiki程序,是一個基于Web的網(wǎng)站協(xié)作平臺,它可用于項(xiàng)目開發(fā)管理、文檔管理、知識庫管理以及其他協(xié)作工作. Twiki 5.1.3之前版本、Foswiki 1.0.x至1.0.10版本以及1.1.x至1.1.6版本中的定位功能中存在漏洞.通過%MAKETEXT%宏中較大的整數(shù),遠(yuǎn)程攻擊者利用該漏洞導(dǎo)致拒絕服務(wù)(內(nèi)存消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2012-6329'
'CVE-2010-4215', 'Foswiki UI/Manage.pm 權(quán)限許可和訪問控制問題漏洞', 'Foswiki 是一個用Perl 語言開發(fā)的Wiki 軟件. Foswiki 1.1.0和1.1.1版本中的UI/Manage.pm文件中存在權(quán)限許可和訪問控制漏洞.遠(yuǎn)程認(rèn)證用戶可以通過對Main.AdminGroup標(biāo)題參數(shù)選擇中的GROUP和ALLOWTOPICCHANGE的標(biāo)題參數(shù)選擇進(jìn)行修改,從而獲得權(quán)限提升.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://foswiki.org/'
'CVE-2012-1004', 'Foswiki多個參數(shù)跨站腳本漏洞', 'Foswiki是一個用 Perl 語言開發(fā)的 Wiki 軟件,是一個真正的自由且開放源碼的Wiki和用戶建立應(yīng)用程式的平臺,適合公共和企業(yè)環(huán)境使用. Foswiki 1.1.5之前版本的UI/Register.pm中存在多個跨站腳本漏洞(XSS).擁有CHANGE權(quán)限的遠(yuǎn)程認(rèn)證用戶可利用此漏洞借助(1)text(2)FirstName(3) LastName(4) OrganisationName(5) OrganisationUrl(6)Profession(7)Country(8) State(9)Address(10) Location(11) Telephone(12) VoIP(13) InstantMessagingIM(14) Email(15) HomePage或(16)Comment 參數(shù),注入任意web腳本或HTML.', '目前廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級程序,建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本: http://foswiki.org/'
'CVE-2021-32029', 'postgresql 安全漏洞', 'PostgreSQL是Postgresql組織的一套自由的對象關(guān)系型數(shù)據(jù)庫管理系統(tǒng).該系統(tǒng)支持大部分SQL標(biāo)準(zhǔn)并且提供了許多其他特性,例如外鍵、觸發(fā)器、視圖等. postgresql 中存在安全漏洞.攻擊者可以讀取服務(wù)器內(nèi)存的任意字節(jié).在默認(rèn)配置中,任何經(jīng)過身份驗(yàn)證的數(shù)據(jù)庫用戶都可以隨意創(chuàng)建先決條件對象并完成此攻擊.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/'
'CVE-2021-32029', 'postgresql 安全漏洞', 'PostgreSQL是Postgresql組織的一套自由的對象關(guān)系型數(shù)據(jù)庫管理系統(tǒng).該系統(tǒng)支持大部分SQL標(biāo)準(zhǔn)并且提供了許多其他特性,例如外鍵、觸發(fā)器、視圖等. postgresql 中存在安全漏洞.攻擊者可以讀取服務(wù)器內(nèi)存的任意字節(jié).在默認(rèn)配置中,任何經(jīng)過身份驗(yàn)證的數(shù)據(jù)庫用戶都可以隨意創(chuàng)建先決條件對象并完成此攻擊.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.postgresql.org/about/news/postgresql-133-127-1112-1017-and-9622-released-2210/'
'CVE-2021-42112', 'LimeSurvey 3.x <= 3.27.18 XSS漏洞', 'limessurvey很容易出現(xiàn)跨站點(diǎn)腳本(XSS)漏洞 在assets/scripts/modaldialog.js和assets/scripts/uploader.js中.', '截至2021年10月11日,還沒有已知的解決方案. 有關(guān)此問題的信息將在解決方案詳細(xì)信息可用后更新.'
'CVE-2021-24508', 'WordPress 插件跨站腳本漏洞', 'WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站. WordPress plugin Smash Balloon Social Post Feed 存在跨站腳本漏洞,該漏洞源于在2.19.2之前的Smash Balloon Social Post Feed WordPress插件不會在它的 feed_locator AJAX 操作(經(jīng)過身份驗(yàn)證和未經(jīng)身份驗(yàn)證的用戶都可用)中清理或轉(zhuǎn)義 feedID POST 參數(shù),然后在管理儀表板中輸出它的截?cái)喟姹?攻擊者可利用該漏洞執(zhí)行客戶端代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://wpscan.com/vulnerability/2b543740-d4b0-49b5-a021-454a3a72162f'
'CVE-2021-24525', 'WordPress 插件 跨站腳本漏洞', 'WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress 插件 Shortcodes Ultimate 5.10.2之前版本存在跨站腳本漏洞,該漏洞源于插件允許具有貢獻(xiàn)者角色的用戶通過短代碼屬性執(zhí)行存儲的XSS.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://wpscan.com/vulnerability/7f5659bd-50c3-4725-95f4-cf88812acf1c'
'CVE-2021-24613', 'WordPress 插件跨站腳本漏洞', 'WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站.WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress Plugin 存在跨站腳本漏洞,該漏洞源于 1.3.5 版本之前的 Post Views Counter 插件不會清理或轉(zhuǎn)義其 Post Views Label 設(shè)置,即使 unfiltered_html 功能被禁止,仍可能允許高權(quán)限用戶在前端執(zhí)行跨站點(diǎn)腳本攻擊.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://wpscan.com/vulnerability/0b8c5947-bc73-448e-8f10-a4f4456e4000'
'CVE-2021-24637', 'WordPress 插件跨站腳本漏洞', 'WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站.WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress Google Fonts Typography插件存在跨站腳本漏洞,該漏洞源于WEB應(yīng)用缺少對客戶端數(shù)據(jù)的正確驗(yàn)證.攻擊者可利用該漏洞執(zhí)行客戶端代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://wpscan.com/vulnerability/dd2b3f22-5e8b-41cf-bcb8-d2e673e1d21e'
'CVE-2021-39325', 'WordPress 插件跨站腳本漏洞', 'WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站.WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress 插件 OptinMonster 存在跨站腳本漏洞,該漏洞源于~/OMAPI/Output.php 文件中的 load_previews 函數(shù)中的輸入驗(yàn)證不足.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.wordfence.com/vulnerability-advisories/#CVE-2021-39325'
'CVE-2021-34647, CVE-2021-34648', 'WordPress忍者窗體插件3.5.8多個漏洞', 'CVE-2021-34647:WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress 插件 Ninja Forms 3.5.7及之前版本存在安全漏洞,經(jīng)過身份驗(yàn)證的攻擊者通過\"/ninja-forms-submissions/export\"的REST API導(dǎo)出所有Ninja Forms提交數(shù)據(jù),其中可能包含個人身份信息.\nCVE-2021-34648:WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress 插件 Ninja Forms 3.5.7及之前版本存在安全漏洞,經(jīng)過身份驗(yàn)證的攻擊者通過\"/ninja-forms-submissions/email-action\"的REST API導(dǎo)出所有Ninja Forms提交數(shù)據(jù),其中可能包含個人身份信息.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.wordfence.com/blog/2021/09/recently-patched-vulnerabilities-in-ninja-forms-plugin-affects-over-1-million-site-owners/'
'CVE-2021-36872', 'WordPress 跨站腳本漏洞', 'WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站. Wordpress Plugin Popular Posts 中存在跨站腳本漏洞,該漏洞源于產(chǎn)品的 &widget-wpp[2][post_type]未能驗(yàn)正確驗(yàn)證用戶的輸入數(shù)據(jù).攻擊者可通過該漏洞執(zhí)行客戶端代碼.以下產(chǎn)品及版本受到影響:Wordpress Plugin Popular Posts 5.3.3 版本及之前版本.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/cabrerahector/wordpress-popular-posts/blob/master/changelog.md'
'CVE-2014-0050', 'Apache Commons FileUpload 權(quán)限許可和訪問控制問題漏洞', 'Apache Commons FileUpload是美國阿帕奇(Apache)基金會的一個可將文件上傳到Servlet和Web應(yīng)用程序的軟件包. Apache Commons FileUpload 1.3.1及之前版本(用在Apache Tomcat和JBoss Web中)中的MultipartStream.java文件存在權(quán)限許可和訪問控制問題漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品缺乏有效的權(quán)限許可和訪問控制措施.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=r1565143'
'CVE-2014-0050', 'Apache Commons FileUpload 權(quán)限許可和訪問控制問題漏洞', 'Apache Commons FileUpload是美國阿帕奇(Apache)基金會的一個可將文件上傳到Servlet和Web應(yīng)用程序的軟件包. Apache Commons FileUpload 1.3.1及之前版本(用在Apache Tomcat和JBoss Web中)中的MultipartStream.java文件存在權(quán)限許可和訪問控制問題漏洞.該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品缺乏有效的權(quán)限許可和訪問控制措施.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=r1565143'
'CVE-2021-38295', 'Apache CouchDB <= 3.1.1權(quán)限升級漏洞', 'Apache CouchDB容易出現(xiàn)特權(quán)升級漏洞.', '更新到3.1.2、3.2.0或更高版本.'
'CVE-2021-38295', 'Apache CouchDB <= 3.1.1權(quán)限升級漏洞', 'Apache CouchDB容易出現(xiàn)特權(quán)升級漏洞.', '更新到3.1.2、3.2.0或更高版本.'
'CVE-2021-40854', 'AnyDesk特權(quán)升級漏洞()- Windows', 'AnyDesk存在特權(quán)升級漏洞.', '更新到6.2.6、6.3.3或更高版本.'
'CVE-2021-41611', 'Squid 信任管理問題漏洞', 'Squid是一套代理服務(wù)器和Web緩存服務(wù)器軟件.該軟件提供緩存萬維網(wǎng)、過濾流量、代理上網(wǎng)等功能. Squid存在信任管理問題漏洞,該漏洞源于不正確的證書驗(yàn)證.攻擊者可利用該漏洞對代理服務(wù)器用戶執(zhí)行命令攻擊.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/squid-cache/squid/security/advisories/GHSA-47m4-g3mv-9q5r/'
'CVE-2013-2067', 'Apache Tomcat 授權(quán)問題漏洞', 'Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器.該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持. Apache Tomcat 6.0.21至6.0.36版本,7.0.33之前的7.x版本中的表單驗(yàn)證功能中的java/org/apache/catalina/authenticator/FormAuthenticator.java中存在漏洞,該漏洞源于程序沒有正確處理身份認(rèn)證要求和會話之間的關(guān)系.遠(yuǎn)程攻擊者可通過在完成登錄表單期間發(fā)送請求利用該漏洞注入請求到會話.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1408044 http://svn.apache.org/viewvc?view=revision&revision=1417891'
'CVE-2013-2071', 'Apache Tomcat 信息泄露漏洞', 'Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 7.0.0至7.0.39版本中的java/org/apache/catalina/core/AsyncContextImpl.java中存在遠(yuǎn)程信息泄露漏洞.遠(yuǎn)程攻擊者可利用該漏洞獲得敏感信息.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: https://issues.apache.org/bugzilla/show_bug.cgi?id=54178'
'CVE-2013-1571', 'Oracle Java SE JRE組件未明安全漏洞', 'Oracle Java SE和JavaFX都是美國甲骨文(Oracle)公司的產(chǎn)品.Java SE(Java平臺標(biāo)準(zhǔn)版)用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時環(huán)境中的Java應(yīng)用程序.JavaFX為用戶提供了一個可利用JavaFX編程語言開發(fā)富互聯(lián)網(wǎng)應(yīng)用程序(RIA)的框架. Oracle Java SE 7 Update 21及之前的版本,6 Update 45及之前的版本,5.0 Update 45 及之前的版本和JavaFX 2.2.21及之前的版本中的Javadoc組件中存在安全漏洞.遠(yuǎn)程攻擊者可通過與Javadoc相關(guān)的向量利用該漏洞影響完整性.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html'
'CVE-2013-1571', 'Oracle Java SE JRE組件未明安全漏洞', 'Oracle Java SE和JavaFX都是美國甲骨文(Oracle)公司的產(chǎn)品.Java SE(Java平臺標(biāo)準(zhǔn)版)用于開發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時環(huán)境中的Java應(yīng)用程序.JavaFX為用戶提供了一個可利用JavaFX編程語言開發(fā)富互聯(lián)網(wǎng)應(yīng)用程序(RIA)的框架. Oracle Java SE 7 Update 21及之前的版本,6 Update 45及之前的版本,5.0 Update 45 及之前的版本和JavaFX 2.2.21及之前的版本中的Javadoc組件中存在安全漏洞.遠(yuǎn)程攻擊者可通過與Javadoc相關(guān)的向量利用該漏洞影響完整性.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html'
'CVE-2021-41991', 'strongSwan 4.2.10 <5.9.4遠(yuǎn)端控制設(shè)備漏洞', 'strongSwan易于執(zhí)行遠(yuǎn)程代碼(RCE) 由于整數(shù)溢出而導(dǎo)致的漏洞.', '升級到5.9.4或更高版本或應(yīng)用提供的補(bǔ)丁.'
'CVE-2021-42096, CVE-2021-42097', '郵差<2.1.35多個漏洞', 'Mailman容易出現(xiàn)多個權(quán)限升級漏洞.', '升級到2.1.35及以上版本.'
'CVE-2021-34858, CVE-2021-34859', 'TeamViewer Multiple vulnerability()- Linux', 'Teamviewer TeamViewer是德國TeamViewer(Teamviewer)公司的一套用于遠(yuǎn)程控制、桌面共享和文件傳輸?shù)能浖? TeamViewer 中存在安全漏洞.該漏洞源于攻擊者可以使用TeamViewer的多個漏洞.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://community.teamviewer.com/Chinese/discussion/117856/2021%E5%B9%B48%E6%9C%88%E6%9B%B4%E6%96%B0-%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81'
'CVE-2021-34858, CVE-2021-34859', 'TeamViewer Multiple vulnerability()- Windows', 'Teamviewer TeamViewer是德國TeamViewer(Teamviewer)公司的一套用于遠(yuǎn)程控制、桌面共享和文件傳輸?shù)能浖? TeamViewer 中存在安全漏洞.該漏洞源于攻擊者可以使用TeamViewer的多個漏洞.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://community.teamviewer.com/Chinese/discussion/117856/2021%E5%B9%B48%E6%9C%88%E6%9B%B4%E6%96%B0-%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81'
'CVE-2021-34858, CVE-2021-34859', 'TeamViewer多個漏洞()- Mac OS X', 'Teamviewer TeamViewer是德國TeamViewer(Teamviewer)公司的一套用于遠(yuǎn)程控制、桌面共享和文件傳輸?shù)能浖? TeamViewer 中存在安全漏洞.該漏洞源于攻擊者可以使用TeamViewer的多個漏洞.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://community.teamviewer.com/Chinese/discussion/117856/2021%E5%B9%B48%E6%9C%88%E6%9B%B4%E6%96%B0-%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81'
'CVE-2021-41177, CVE-2021-41178, CVE-2021-41179', 'Nextcloud服務(wù)器多個漏洞()', 'Nextcloud Server容易出現(xiàn)多個漏洞.', '更新到版本20.0.13、21.0.5、22.2.0或更高版本.'
'CVE-2021-41175', 'Pi-hole Ad-Blocker Web (AdminLTE5.8 XSS漏洞', 'Pi-hole Ad-Blocker Web (AdminLTE)易于跨站點(diǎn) 腳本攻擊(XSS)脆弱性.', '更新到5.8或更高版本.'
'CVE-2021-36513', 'FreeSWITCH <1.10.6信息泄露漏洞', 'FreeSWITCH容易出現(xiàn)信息泄露漏洞.', '更新到1.10.6或更高版本.'
'CVE-2021-37624, CVE-2021-41105, CVE-2021-41145, CVE-2021-41157,\n\n                CVE-2021-41158', 'FreeSWITCH <1.10.7多個漏洞', 'FreeSWITCH容易出現(xiàn)多種漏洞.', '更新到1.10.7或更高版本.'
'CVE-2020-23052', 'Mahara <= 19.10.2跨站漏洞', 'Mahara很容易出現(xiàn)跨站腳本(XSS)漏洞 在組件groupfiles.php中通過Number和Description參數(shù).', '截至2021年10月27日,還沒有已知的解決方案. 有關(guān)此問題的信息將在解決方案詳細(xì)信息可用后更新.'
'CVE-2021-29349', 'Catalyst IT Mahara 跨站請求偽造漏洞', 'Catalyst It Catalyst IT Mahara是新西蘭Catalyst IT(Catalyst It)公司的一套社交網(wǎng)絡(luò)系統(tǒng).該系統(tǒng)包含博客、履歷表生成器、文件管理器等. Mahara 20.10 存在跨站請求偽造漏洞,攻擊者可利用該漏洞刪除服務(wù)器上的inbox-mail.', '目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://mahara.org/'
'CVE-2021-27212', 'OpenLDAP 安全漏洞', 'OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP through 2.4.57 and 2.5.x through 2.5.1alpha 存在安全漏洞,該漏洞導(dǎo)致通過短時間戳拒絕服務(wù)(守護(hù)進(jìn)程退出).', '目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://bugzilla.redhat.com/show_bug.cgi?id=1928774'
'CVE-2020-36221, CVE-2020-36222, CVE-2020-36223, CVE-2020-36224,\n\n                CVE-2020-36225, CVE-2020-36226, CVE-2020-36227, CVE-2020-36228,\n\n                CVE-2020-36229, CVE-2020-36230', 'OpenLDAP <2.4.57多DoS漏洞', 'CVE-2020-36221, CVE-2020-36228:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在數(shù)字錯誤漏洞.該漏洞源于程序在發(fā)現(xiàn)整數(shù)下溢后,導(dǎo)致證書列表精確聲明處理中發(fā)生嚴(yán)重崩潰.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36222:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于saslAuthzTo驗(yàn)證中的slapd斷言失敗.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36223:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于Values Return Filter控件處理崩潰.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36224:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于程序無效的指針釋放和saslAuthzTo處理時的崩潰.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36225:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于saslAuthzTo處理中出現(xiàn)了兩次釋放和嚴(yán)重崩潰.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36226:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于mesl-> bv_len的錯誤計(jì)算以及saslAuthzTo處理時的崩潰.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36227:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于cancel_extop Cancel操作在無限循環(huán)中發(fā)生.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36229:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于ldap_X509dn2bv中發(fā)現(xiàn)了一個缺陷,導(dǎo)致解析ad_keystring的X.509 DN發(fā)生嚴(yán)重崩潰.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-36230:OpenLDAP是美國OpenLDAP(Openldap)基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.57版本之前存在安全漏洞.該漏洞源于decode.c ber_next_element中的X.509 DN解析中slapd斷言失敗.攻擊者可以利用該漏洞導(dǎo)致拒絕服務(wù).', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://git.openldap.org/openldap/openldap/-/tags/OPENLDAP_REL_ENG_2_4_57'
'CVE-2021-37129', '華為數(shù)據(jù)通信:部分產(chǎn)品存在越界寫漏洞(Huawei -sa-20211020-01-outofwrite)', '部分華為產(chǎn)品存在越界寫漏洞 產(chǎn)品.', '有關(guān)解決方案,請參閱參考的供應(yīng)商建議.'
'CVE-2021-41866', 'MyBB <1.8.28 XSS漏洞', 'MyBB容易出現(xiàn)跨站腳本(XSS)漏洞.', '更新到1.8.28或更高版本.'
'CVE-2021-24569', 'WordPress 插件 跨站腳本漏洞', 'WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress 插件 GDPR/CCPA存在跨站腳本漏洞,該漏洞源于WEB應(yīng)用缺少對客戶端數(shù)據(jù)的正確驗(yàn)證.攻擊者可利用該漏洞執(zhí)行客戶端代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://wpscan.com/vulnerability/38053e05-4b17-4fa9-acd3-85d8529b202b'
'CVE-2021-24610', 'WordPress 插件 跨站腳本漏洞', 'WordPress 插件是WordPress開源的一個應(yīng)用插件. WordPress 插件 TranslatePress存在跨站腳本漏洞,該漏洞源于WEB應(yīng)用缺少對客戶端數(shù)據(jù)的正確驗(yàn)證.攻擊者可利用該漏洞執(zhí)行客戶端代碼.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://wpscan.com/vulnerability/b87fcc2f-c2eb-4e23-9757-d1c590f26d3f'
'CVE-2021-24681', 'WordPress復(fù)制頁面插件4.4.3 XSS漏洞', 'WordPress插件復(fù)制頁面容易出現(xiàn)跨站點(diǎn) 腳本攻擊(XSS)脆弱性.', '更新到4.4.3或更高版本.'
'CVE-2012-2733, CVE-2012-4534', 'Apache Tomcat 7.x <7.0.28多個漏洞()- Linux', 'CVE-2012-2733:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.36之前的6.x版本和7.0.28之前的7.x版本中的HTTP NIO連接器中的java/org/apache/coyote/http11/InternalNioInputBuffer.java中存在漏洞,該漏洞源于沒有正確限制請求頭的大小.遠(yuǎn)程攻擊者利用該漏洞通過大量的頭數(shù)據(jù),導(dǎo)致拒絕服務(wù)(內(nèi)存消耗).\nCVE-2012-4534:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.36之前的6.x版本和7.0.28之前的7.x版本中的org/apache/tomcat/util/net/NioEndpoint.java中存在漏洞.在sendfile和HTTPS同時發(fā)生的情況下使用NIO連接器,并在讀響應(yīng)的過程中終止其連接,遠(yuǎn)程攻擊可者利用該漏洞導(dǎo)致拒絕服務(wù)(無限循環(huán)).', 'CVE-2012-2733:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html\nCVE-2012-4534:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html'
'CVE-2012-4431, CVE-2012-2733, CVE-2012-4534, CVE-2012-3439,\n\n                CVE-2012-3546', 'Apache Tomcat 6.x <6.0.36多個漏洞()- Linux', 'CVE-2012-4431:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 7.0.0至7.0.31版本和6.0.0至6.0.35版本中中的org/apache/catalina/filters/CsrfPreventionFilter.java中存在安全漏洞.遠(yuǎn)程攻擊者利用該漏洞在授權(quán)用戶上下文中執(zhí)行一定的操作,進(jìn)而獲得訪問到受影響應(yīng)用程序的權(quán)限,也可能存在其他攻擊.\nCVE-2012-2733:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.36之前的6.x版本和7.0.28之前的7.x版本中的HTTP NIO連接器中的java/org/apache/coyote/http11/InternalNioInputBuffer.java中存在漏洞,該漏洞源于沒有正確限制請求頭的大小.遠(yuǎn)程攻擊者利用該漏洞通過大量的頭數(shù)據(jù),導(dǎo)致拒絕服務(wù)(內(nèi)存消耗).\nCVE-2012-4534:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.36之前的6.x版本和7.0.28之前的7.x版本中的org/apache/tomcat/util/net/NioEndpoint.java中存在漏洞.在sendfile和HTTPS同時發(fā)生的情況下使用NIO連接器,并在讀響應(yīng)的過程中終止其連接,遠(yuǎn)程攻擊可者利用該漏洞導(dǎo)致拒絕服務(wù)(無限循環(huán)).\nCVE-2012-3439:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 5.5.0-5.5.35,6.0.0-6.0.35以及7.0.0-7.0.29版本中存在漏洞,該漏洞源于DIGEST認(rèn)證機(jī)制沒有正確檢查服務(wù)器隨機(jī)數(shù).可被惡意攻擊者利用繞過一定的安全限制并導(dǎo)致DoS(拒絕服務(wù)).\nCVE-2012-3546:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.36之前的6.x版本以及7.0.30之前的7.x版本中的org/apache/catalina/realm/RealmBase.java中存在漏洞.在程序使用FORM身份驗(yàn)證的條件下,通過對之前的某setUserPrincipal調(diào)用進(jìn)行利用并且在URI結(jié)尾處追加/j_security_check,遠(yuǎn)程攻擊者利用該漏洞繞過安全強(qiáng)制檢查.', 'CVE-2012-4431, CVE-2012-4534, CVE-2012-3546:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html\nCVE-2012-2733:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html\nCVE-2012-3439:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.apache.org/dist/httpd/Announcement2.2.html'
'CVE-2012-0022', 'Apache Tomcat拒絕服務(wù)漏洞', 'Apache Tomcat是一個流行的開放源碼的JSP應(yīng)用服務(wù)器程序. Apache Tomcat在參數(shù)處理的實(shí)現(xiàn)上存在拒絕服務(wù)漏洞.遠(yuǎn)程攻擊者可通過特制的請求利用此漏洞消耗大量的CPU資源,造成拒絕服務(wù).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html http://tomcat.apache.org/security-5.html http://tomcat.apache.org/security-6.html'
'CVE-2011-3375, CVE-2011-3190, CVE-2012-0022', 'Apache Tomcat 6.0.x <6.0.35多個漏洞—Linux', 'CVE-2011-3375:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.30到6.0.33中存在安全漏洞,惡意攻擊者可利用該漏洞繞過安全限制.該漏洞源于當(dāng)發(fā)生某些錯誤時需要添加到訪問日志中,訪問日志進(jìn)程會在其回收之后觸發(fā)請求對象重填(re-population).但是在用于下一個請求之前沒有回收請求對象,可導(dǎo)致把前一個請求中的遠(yuǎn)程IP地址,HTTP頭等敏感信息泄露到下一個請求中去.\nCVE-2011-3190:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Tomcat在AJP協(xié)議的實(shí)現(xiàn)上存在安全限制繞過漏洞.此漏洞源于Apache Tomcat錯誤處理了某些請求,可被利用注入任意AJP消息并泄露敏感信息或繞過身份驗(yàn)證機(jī)制.成功利用需要不使用org.apache.jk.server.JkCoyoteHandler AJP連接器,接受POST請求,不處理請求主體.遠(yuǎn)程攻擊者可利用此漏洞繞過某些安全限制.\nCVE-2012-0022:Apache Tomcat是一個流行的開放源碼的JSP應(yīng)用服務(wù)器程序. Apache Tomcat在參數(shù)處理的實(shí)現(xiàn)上存在拒絕服務(wù)漏洞.遠(yuǎn)程攻擊者可通過特制的請求利用此漏洞消耗大量的CPU資源,造成拒絕服務(wù).', 'CVE-2011-3375:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html\nCVE-2011-3190:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html\nCVE-2012-0022:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html http://tomcat.apache.org/security-5.html http://tomcat.apache.org/security-6.html'
'CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064,\n\n                CVE-2011-2204, CVE-2011-2526, CVE-2011-2729, CVE-2011-3190', 'Apache Tomcat 5.5.x <5.5.34多個漏洞—Linux', 'CVE-2011-1184:Apache Tomcat 7.0.0 到7.0.11,6.0.0到6.0.32,5.5.0到5.5.33版本中存在多個安全漏洞.攻擊者可利用該漏洞繞過安全限制執(zhí)行未授權(quán)的攻擊.\nCVE-2011-5062:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,7.0.12之前的7.x版本中的HTTP摘要式身份驗(yàn)證時在實(shí)現(xiàn)上存在漏洞,該漏洞源于未檢測qop值.遠(yuǎn)程攻擊者可利用該漏洞借助特制的qop=auth的值繞過完整性保護(hù)限制.\nCVE-2011-5063:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat的HTTP摘要式身份驗(yàn)證時在實(shí)現(xiàn)上中存在漏洞,該漏洞源于未校對realm值.遠(yuǎn)程攻擊者可利用該漏洞借助具有較弱認(rèn)證或授權(quán)要求的保護(hù)空間的可用性繞過預(yù)期的訪問限制.\nCVE-2011-5064:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat的HTTP摘要訪問授權(quán)implementation(實(shí)施)中的DigestAuthenticator.java中存在漏洞,該漏洞源于其將Catalina作為私鑰.遠(yuǎn)程攻擊者可通過對該字符串的認(rèn)知繞過加密的保護(hù)機(jī)制.\nCVE-2011-2204:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,以及7.0.17之前的7.x版本中存在信息泄露漏洞.該漏洞源于使用MemoryUserDatabase的JMX在創(chuàng)建用戶時產(chǎn)生的錯誤,本地用戶可利用該漏洞在Tomcat日志中記錄用戶密碼,導(dǎo)致泄露敏感信息.\nCVE-2011-2526:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). 當(dāng)為HTTP APR或HTTP NIO連接器啟用了sendfile時,Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,7.0.19之前的7.x版本沒有驗(yàn)證某些請求屬性.本地用戶可利用不可信web應(yīng)用程序繞過預(yù)設(shè)的文件訪問限制或?qū)е戮芙^服務(wù)(無限循環(huán)或JVM崩潰).\nCVE-2011-2729:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). 在Apache Tomcat 5.5.3至5.5.33版本,6.0.30至6.0.32版本,及7.0.20之前的7.0.x版本中使用的Apache Commons中的Daemon組件1.0.3至1.0.6版本的jsvc中的native/unix/native/jsvc-unix.c不能降低權(quán)限.遠(yuǎn)程攻擊者可借助對應(yīng)用程序的請求繞過文件的讀權(quán)限.\nCVE-2011-3190:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Tomcat在AJP協(xié)議的實(shí)現(xiàn)上存在安全限制繞過漏洞.此漏洞源于Apache Tomcat錯誤處理了某些請求,可被利用注入任意AJP消息并泄露敏感信息或繞過身份驗(yàn)證機(jī)制.成功利用需要不使用org.apache.jk.server.JkCoyoteHandler AJP連接器,接受POST請求,不處理請求主體.遠(yuǎn)程攻擊者可利用此漏洞繞過某些安全限制.', 'CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/download-70.cgi\nCVE-2011-2204, CVE-2011-2526:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-5.html http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html\nCVE-2011-2729:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-5.html http://tomcat.apache.org/security-7.html\nCVE-2011-3190:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html'
'CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064,\n\n                CVE-2011-2204, CVE-2011-2526, CVE-2011-2729', 'Apache Tomcat 6.0.x <6.0.33多個漏洞—Linux', 'CVE-2011-1184:Apache Tomcat 7.0.0 到7.0.11,6.0.0到6.0.32,5.5.0到5.5.33版本中存在多個安全漏洞.攻擊者可利用該漏洞繞過安全限制執(zhí)行未授權(quán)的攻擊.\nCVE-2011-5062:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,7.0.12之前的7.x版本中的HTTP摘要式身份驗(yàn)證時在實(shí)現(xiàn)上存在漏洞,該漏洞源于未檢測qop值.遠(yuǎn)程攻擊者可利用該漏洞借助特制的qop=auth的值繞過完整性保護(hù)限制.\nCVE-2011-5063:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat的HTTP摘要式身份驗(yàn)證時在實(shí)現(xiàn)上中存在漏洞,該漏洞源于未校對realm值.遠(yuǎn)程攻擊者可利用該漏洞借助具有較弱認(rèn)證或授權(quán)要求的保護(hù)空間的可用性繞過預(yù)期的訪問限制.\nCVE-2011-5064:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat的HTTP摘要訪問授權(quán)implementation(實(shí)施)中的DigestAuthenticator.java中存在漏洞,該漏洞源于其將Catalina作為私鑰.遠(yuǎn)程攻擊者可通過對該字符串的認(rèn)知繞過加密的保護(hù)機(jī)制.\nCVE-2011-2204:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,以及7.0.17之前的7.x版本中存在信息泄露漏洞.該漏洞源于使用MemoryUserDatabase的JMX在創(chuàng)建用戶時產(chǎn)生的錯誤,本地用戶可利用該漏洞在Tomcat日志中記錄用戶密碼,導(dǎo)致泄露敏感信息.\nCVE-2011-2526:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). 當(dāng)為HTTP APR或HTTP NIO連接器啟用了sendfile時,Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,7.0.19之前的7.x版本沒有驗(yàn)證某些請求屬性.本地用戶可利用不可信web應(yīng)用程序繞過預(yù)設(shè)的文件訪問限制或?qū)е戮芙^服務(wù)(無限循環(huán)或JVM崩潰).\nCVE-2011-2729:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). 在Apache Tomcat 5.5.3至5.5.33版本,6.0.30至6.0.32版本,及7.0.20之前的7.0.x版本中使用的Apache Commons中的Daemon組件1.0.3至1.0.6版本的jsvc中的native/unix/native/jsvc-unix.c不能降低權(quán)限.遠(yuǎn)程攻擊者可借助對應(yīng)用程序的請求繞過文件的讀權(quán)限.', 'CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/download-70.cgi\nCVE-2011-2204, CVE-2011-2526:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-5.html http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html\nCVE-2011-2729:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-5.html http://tomcat.apache.org/security-7.html'
'CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064,\n\n                CVE-2011-1475, CVE-2011-1183', 'Apache Tomcat 7.0.x <7.0.11多個漏洞—Linux', 'CVE-2011-1184:Apache Tomcat 7.0.0 到7.0.11,6.0.0到6.0.32,5.5.0到5.5.33版本中存在多個安全漏洞.攻擊者可利用該漏洞繞過安全限制執(zhí)行未授權(quán)的攻擊.\nCVE-2011-5062:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 5.5.34之前的5.5.x版本,6.0.33之前的6.x版本,7.0.12之前的7.x版本中的HTTP摘要式身份驗(yàn)證時在實(shí)現(xiàn)上存在漏洞,該漏洞源于未檢測qop值.遠(yuǎn)程攻擊者可利用該漏洞借助特制的qop=auth的值繞過完整性保護(hù)限制.\nCVE-2011-5063:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat的HTTP摘要式身份驗(yàn)證時在實(shí)現(xiàn)上中存在漏洞,該漏洞源于未校對realm值.遠(yuǎn)程攻擊者可利用該漏洞借助具有較弱認(rèn)證或授權(quán)要求的保護(hù)空間的可用性繞過預(yù)期的訪問限制.\nCVE-2011-5064:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat的HTTP摘要訪問授權(quán)implementation(實(shí)施)中的DigestAuthenticator.java中存在漏洞,該漏洞源于其將Catalina作為私鑰.遠(yuǎn)程攻擊者可通過對該字符串的認(rèn)知繞過加密的保護(hù)機(jī)制.\nCVE-2011-1475:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 7.0.12之前的7.0.x版本中的HTTP BIO連接器沒有正確處理HTTP流水線.遠(yuǎn)程攻擊者可以通過檢查HTTP包中的應(yīng)用數(shù)據(jù),為隨機(jī)環(huán)境中的其他客戶端讀取響應(yīng).\nCVE-2011-1183:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). 當(dāng)web.xml沒有設(shè)置登錄配置時,Apache Tomcat 7.0.11版本沒有遵循安全約束.遠(yuǎn)程攻擊者可以借助對元數(shù)據(jù)完整的web應(yīng)用程序的HTTP請求,繞過預(yù)設(shè)的訪問限制.', 'CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/download-70.cgi\nCVE-2011-1475:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1086349 http://svn.apache.org/viewvc?view=revision&revision=1086352\nCVE-2011-1183:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1087643'
'CVE-2011-3375, CVE-2011-3376', 'Apache Tomcat 7.0.x <7.0.22多個漏洞—Linux', 'CVE-2011-3375:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.30到6.0.33中存在安全漏洞,惡意攻擊者可利用該漏洞繞過安全限制.該漏洞源于當(dāng)發(fā)生某些錯誤時需要添加到訪問日志中,訪問日志進(jìn)程會在其回收之后觸發(fā)請求對象重填(re-population).但是在用于下一個請求之前沒有回收請求對象,可導(dǎo)致把前一個請求中的遠(yuǎn)程IP地址,HTTP頭等敏感信息泄露到下一個請求中去.\nCVE-2011-3376:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat在實(shí)現(xiàn)上存在安全漏洞.可疑Web應(yīng)用可以訪問管理應(yīng)用程序,可被惡意用戶利用繞過某些安全限制.要成功利用需要\"manager-script\"權(quán)限.', 'CVE-2011-3375:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html\nCVE-2011-3376:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html'
'CVE-2011-0013', 'Apache Software Foundation Tomcat多個跨站腳本攻擊漏洞', 'Apache Software Foundation Tomcat 是一款開放源碼的JSP應(yīng)用服務(wù)器程序. Apache Software Foundation Tomcat 7.0.6之前的7.0版本,5.5.32之前的5.5版本,以及6.0.30之前的6.0版本中存在多個跨站腳本攻擊漏洞.遠(yuǎn)程攻擊者可以利用這些漏洞注入任意web腳本或者HTML.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1057279'
'CVE-2011-0013, CVE-2010-4172, CVE-2010-3718', 'Apache Tomcat 6.0.x <6.0.30多個漏洞—Linux', 'CVE-2011-0013:Apache Software Foundation Tomcat 是一款開放源碼的JSP應(yīng)用服務(wù)器程序. Apache Software Foundation Tomcat 7.0.6之前的7.0版本,5.5.32之前的5.5版本,以及6.0.30之前的6.0版本中存在多個跨站腳本攻擊漏洞.遠(yuǎn)程攻擊者可以利用這些漏洞注入任意web腳本或者HTML.\nCVE-2010-4172:Apache Tomcat是一款開放源碼的JSP應(yīng)用服務(wù)器程序. 由于受影響的會話列表屏幕(由sessionList.jsp腳本提供)沒有采用任何過濾使用orderBy和sort請求,因此可造成跨站腳本攻擊.用戶必須注意Tomcat 6默認(rèn)沒有把會話COOKIE設(shè)置httpOnly,否則攻擊者可利用此漏洞獲得會話COOKIE.\nCVE-2010-3718:Apache Tomcat 是一款由Apache Foundation維護(hù)的免費(fèi)開放源代碼的Java Servlet和JSP服務(wù)程序. 當(dāng)在SecurityManager中運(yùn)行時,Apache Tomcat 7.0.0至7.0.3版本,6.0.x,以及5.5.x版本沒有將ServletContext屬性設(shè)為只讀.本地web應(yīng)用程序可以利用該漏洞讀或?qū)戭A(yù)設(shè)工作目錄外的文件.', 'CVE-2011-0013:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1057279\nCVE-2010-4172:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-7.html\nCVE-2010-3718:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1027610'
'CVE-2013-2067, CVE-2012-3544', 'Apache Tomcat 6.0.x <6.0.37多個漏洞—Linux', 'CVE-2013-2067:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器.該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持. Apache Tomcat 6.0.21至6.0.36版本,7.0.33之前的7.x版本中的表單驗(yàn)證功能中的java/org/apache/catalina/authenticator/FormAuthenticator.java中存在漏洞,該漏洞源于程序沒有正確處理身份認(rèn)證要求和會話之間的關(guān)系.遠(yuǎn)程攻擊者可通過在完成登錄表單期間發(fā)送請求利用該漏洞注入請求到會話.\nCVE-2012-3544:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器.該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持. Apache Tomcat中存在拒絕服務(wù)漏洞.攻擊者可利用該漏洞造成拒絕服務(wù).Tomcat 7.0.0至7.0.29版本,Tomcat 6.0.0至6.0.36版本中存在漏洞.', 'CVE-2013-2067:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1408044 http://svn.apache.org/viewvc?view=revision&revision=1417891\nCVE-2012-3544:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1378921 http://svn.apache.org/viewvc?view=revision&revision=1476592'
'CVE-2012-3544, CVE-2012-3439, CVE-2012-3546', 'Apache Tomcat 7.0.x <7.0.29多個漏洞—Linux', 'CVE-2012-3544:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器.該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持. Apache Tomcat中存在拒絕服務(wù)漏洞.攻擊者可利用該漏洞造成拒絕服務(wù).Tomcat 7.0.0至7.0.29版本,Tomcat 6.0.0至6.0.36版本中存在漏洞.\nCVE-2012-3439:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 5.5.0-5.5.35,6.0.0-6.0.35以及7.0.0-7.0.29版本中存在漏洞,該漏洞源于DIGEST認(rèn)證機(jī)制沒有正確檢查服務(wù)器隨機(jī)數(shù).可被惡意攻擊者利用繞過一定的安全限制并導(dǎo)致DoS(拒絕服務(wù)).\nCVE-2012-3546:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng). Apache Tomcat 6.0.36之前的6.x版本以及7.0.30之前的7.x版本中的org/apache/catalina/realm/RealmBase.java中存在漏洞.在程序使用FORM身份驗(yàn)證的條件下,通過對之前的某setUserPrincipal調(diào)用進(jìn)行利用并且在URI結(jié)尾處追加/j_security_check,遠(yuǎn)程攻擊者利用該漏洞繞過安全強(qiáng)制檢查.', 'CVE-2012-3544:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1378921 http://svn.apache.org/viewvc?view=revision&revision=1476592\nCVE-2012-3439:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.apache.org/dist/httpd/Announcement2.2.html\nCVE-2012-3546:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://tomcat.apache.org/security-6.html http://tomcat.apache.org/security-7.html'
'CVE-2016-4975', 'Apache HTTP Server 安全漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.1版本至2.4.23版本和2.2.0版本至2.2.31版本中存在安全漏洞.攻擊者可利用該漏洞實(shí)施HTTP響應(yīng)拆分攻擊.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://httpd.apache.org/security/vulnerabilities_22.html#CVE-2016-4975 https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2016-4975'
'CVE-2016-0736', 'Apache HTTP Server 安全漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.0版本至2.4.23版本中存在安全漏洞.攻擊者可利用該漏洞解密和更改會話數(shù)據(jù).', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2016-0736'
'CVE-2014-3581', 'Apache HTTP Server 拒絕服務(wù)漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.11之前版本的mod_cache模塊中的modules/cache/cache_util.c文件的‘cache_merge_headers_out’函數(shù)中存在安全漏洞.遠(yuǎn)程攻擊者可借助空的HTTP Content-Type頭利用該漏洞造成拒絕服務(wù)(空指針逆向引用和應(yīng)用程序崩潰).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1624234'
'CVE-2013-6438, CVE-2014-0098', 'Apache HTTP Server Multiple vulnerability()- Linux', 'CVE-2013-6438:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.7及之前版本的mod_dav模塊中的main/util.c文件的‘dav_xml_get_cdata’函數(shù)存在輸入驗(yàn)證漏洞,該漏洞源于程序沒有正確刪除CDATA段的空格字符.遠(yuǎn)程攻擊者可通過發(fā)送特制的DAV WRITE請求利用該漏洞造成拒絕服務(wù)(守護(hù)進(jìn)程崩潰).\nCVE-2014-0098:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.7及之前版本的mod_log_config模塊中的mod_log_config.c文件的‘log_cookie’函數(shù)存在拒絕服務(wù)漏洞.遠(yuǎn)程攻擊者可借助特制的cookie利用該漏洞造成拒絕服務(wù)(段錯誤和守護(hù)進(jìn)程崩潰).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.apache.org/dist/httpd/CHANGES_2.4.9'
'CVE-2013-5704, CVE-2014-0118, CVE-2014-0226, CVE-2014-0231', 'Apache HTTP Server Multiple vulnerability()- Linux', 'CVE-2013-5704:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.22版本的mod_headers模塊存在安全漏洞.遠(yuǎn)程攻擊者可利用該漏洞繞過‘RequestHeader unset’指令.\nCVE-2014-0118:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.mod_deflate是其中的一個壓縮模塊. Apache HTTP Server 2.4.1至2.4.9版本的mod_deflate模塊的mod_deflate.c文件中的‘deflate_in_filter’函數(shù)存在安全漏洞.程序配置‘request body decompression’時,遠(yuǎn)程攻擊者可通過發(fā)送特制的請求數(shù)據(jù)利用該漏洞造成拒絕服務(wù)(資源消耗).\nCVE-2014-0226:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.mod_status是其中的一個用于生成描述服務(wù)器狀態(tài)的Web頁面的模塊. Apache HTTP Server 2.4.1至2.4.9版本的mod_status模塊的modules/generators/mod_status.c文件中的‘status_handler’函數(shù)和modules/lua/lua_request.c文件中的‘lua_ap_scoreboard_worker’函數(shù)存在競爭條件漏洞.遠(yuǎn)程攻擊者可通過發(fā)送特制的請求利用該漏洞造成拒絕服務(wù)(基于堆的緩沖區(qū)溢出),或獲取敏感信息,也可能執(zhí)行任意代碼.\nCVE-2014-0231:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.mod_cgid是其中的一個用于在線程型MPM(worker)上用一個外部CGI守護(hù)進(jìn)程執(zhí)行CGI腳本的模塊. Apache HTTP Server 2.4.1至2.4.9版本的mod_cgid模塊存在安全漏洞,該漏洞源于程序沒有超時機(jī)制.遠(yuǎn)程攻擊者可通過向CGI腳本發(fā)送特制的請求利用該漏洞造成拒絕服務(wù)(進(jìn)程掛起).', 'CVE-2013-5704:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/download.cgi\nCVE-2014-0118, CVE-2014-0226, CVE-2014-0231:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/security/vulnerabilities_24.html'
'CVE-2013-2249', 'Apache HTTP Server mod_session_dbd模塊mod_session_dbd.c 安全漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.4及之前的版本中的mod_session_dbd模塊中的mod_session_dbd.c中存在安全漏洞,該漏洞源于模塊處理會話保存操作沒有考慮新會話ID的臟標(biāo)記和要求.攻擊者可利用該漏洞產(chǎn)生影響.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.apache.org/dist/httpd/CHANGES_2.4.6'
'CVE-2013-1896', 'Apache HTTP Server mod_dav.c 拒絕服務(wù)漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.25之前的版本中的mod_dav.c中存在安全漏洞,該漏洞源于程序沒有正確確認(rèn)對URI是否啟用DAV.遠(yuǎn)程攻擊者可借助配置URI處理mod_dav_svn模塊的MERGE請求,利用該漏洞造成拒絕服務(wù)(分段故障).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.apache.org/dist/httpd/Announcement2.2.html'
'CVE-2013-1862', 'Apache HTTP Server Terminal Escape Sequence in Logs 命令注入漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.25之前的2.2.x版本中的mod_rewrite模塊中的mod_rewrite.c中存在漏洞,該漏洞源于程序?qū)憯?shù)據(jù)到日志文件沒有驗(yàn)證非打印字符.遠(yuǎn)程攻擊者可通過包含終端模擬器的轉(zhuǎn)義序列的HTTP請求利用該漏洞執(zhí)行任意命令.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=r1469311'
'CVE-2012-3499, CVE-2012-4558', 'Apache HTTP Server Multiple vulnerability (Feb 2013) - Linux檢測', 'CVE-2012-3499:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.24-dev之前的2.2.x版本和2.4.4之前的2.4.x版本中存在多個跨站腳本漏洞.通過包含在(1)mod_imagemap,(2)mod_info,(3)mod_ldap,(4)mod_proxy_ftp以及(5)mod_status模塊中的主機(jī)名和URIs的向量,遠(yuǎn)程攻擊者利用這些漏洞注入任意web腳本或HTML.\nCVE-2012-4558:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.24-dev之前的2.2.x版本和2.4.4之前的2.4.x版本中的mod_proxy_balancer模塊中的mod_proxy_balancer.c中的管理界面中的‘balancer_handler’中存在多個跨站腳本漏洞.通過特制的字符串,遠(yuǎn)程攻擊者利用這些漏洞注入任意web腳本或HTML.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/security/vulnerabilities_24.html'
'CVE-2012-4557', 'Apache HTTP Server ‘mod_proxy_ajp’模塊資源管理錯誤漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.12版本至2.2.21版本中的mod_proxy_ajp模塊中存在漏洞,該漏洞源于程序?qū)⒐ぷ鞴?jié)點(diǎn)放置于經(jīng)一個較長的請求處理時間檢測的錯誤狀態(tài)下.遠(yuǎn)程攻擊者可通過發(fā)送超長請求利用該漏洞造成拒絕服務(wù)(工作者耗盡).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/security/vulnerabilities_22.html#2.2.22'
'CVE-2012-3502', 'Apache HTTP Server 信息泄露漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.3之前的2.4.x版本中的(1)mod_proxy_ajp模塊中的mod_proxy_ajp.c和(2)mod_proxy_http模塊中的mod_proxy_http.c中的proxy功能中存在漏洞,該漏洞源于未正確確認(rèn)需要關(guān)閉后端連接的情況.遠(yuǎn)程攻擊者可利用該漏洞通過讀取目地不同客戶端的響應(yīng),在伺機(jī)的情況下獲取敏感信息.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/security/vulnerabilities_24.html'
'CVE-2008-0455, CVE-2012-2687', 'Apache HTTP Server XSS漏洞()- Linux', 'CVE-2008-0455:Apache HTTP Server是一款流行的Web服務(wù)器. Apache HTTP Server 2.2.6和較早版本2.2.x系列、2.0.61和較早版本2.0.x系列、1.3.39和較早版本1.3.x系列中的mod_negotiation模塊中存在跨站腳本漏洞.遠(yuǎn)程認(rèn)證攻擊者利用該漏洞通過上傳帶有包含XSS序列名字的文件和文件擴(kuò)展,注入任意web腳本或HTML,文件擴(kuò)展名請求被程序忽略,這將導(dǎo)致程序的(1)“406 Not Acceptable”頁面或者(2)“300 Multiple Choices”HTTP響應(yīng)頁面受到注入攻擊.\nCVE-2012-2687:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.3之前的2.4.x版本中的mod_negotiation模塊中的mod_negotiation.c內(nèi)的‘make_variant_list’函數(shù)中存在多個跨站腳本(XSS)漏洞.當(dāng)MultiViews選項(xiàng)啟用時,遠(yuǎn)程攻擊者可利用這些漏洞通過特制的構(gòu)造列表變量期間未正確處理的文件名,注入任意web腳本或HTML.', 'CVE-2008-0455:目前廠商還沒有提供補(bǔ)丁或者升級程序,建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本: http://www.apache.org\nCVE-2012-2687:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/security/vulnerabilities_24.html'
'CVE-2012-0883', 'Apache HTTP Server ‘LD_LIBRARY_PATH’ 權(quán)限許可和訪問控制問題漏洞', 'Apache HTTP Server是流行的開源WEB服務(wù)器程序,可使用在Unix和Windows操作系統(tǒng)下. Apache HTTP Server 2.4.2之前版本中的envvars(也稱envvars-std)中存在漏洞,該漏洞源于在LD_LIBRARY_PATH中放置了一個零長度的目錄名.本地用戶在執(zhí)行apachectl時,可借助在當(dāng)前工作的目錄中的特洛伊木馬DSO,獲取權(quán)限.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.apache.org/dist/httpd/Announcement2.4.html'
'CVE-2011-3607, CVE-2012-0031, CVE-2012-0053', 'Apache HTTP Server Multiple vulnerability()- Linux', 'CVE-2011-3607:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server在\"ap_pregsub()\"函數(shù)的實(shí)現(xiàn)上存在本地權(quán)限提升漏洞.本地攻擊者可利用此漏洞以提升的權(quán)限執(zhí)行任意代碼.\nCVE-2012-0031:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server中存在漏洞,該漏洞源于其子進(jìn)程可以更改scoreboard共享內(nèi)存段的內(nèi)存類型記錄.本地惡意用戶可利用該漏洞造成父進(jìn)程關(guān)閉時無效的釋放操作,使本地攻擊者可繞過某些安全限制.\nCVE-2012-0053:Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.x版本至2.2.21版本中的protocol.c中存在漏洞,該漏洞源于在Bad Request(也稱400)的構(gòu)建過程中未正確限制表頭信息.遠(yuǎn)程攻擊者可利用此漏洞借助帶有(1)長整形或(2)畸形的表頭連接特制web腳本,向量獲得HTTPOnly cookies值.', 'CVE-2011-3607:目前廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級程序,建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本: http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/ http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/DemoExploit.html\nCVE-2012-0031:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1230065\nCVE-2012-0053:目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1235454'
'CVE-2012-0021', 'Apache HTTP Server輸入驗(yàn)證錯誤漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.2.17版本至2.2.21版本的mod_log_config模塊中的mod_log_config.c文件中的log_cookie函數(shù)存在漏洞,該漏洞源于在使用單線程MPM時,未能正確處理%{}C格式字符串.遠(yuǎn)程攻擊者可利用此漏洞借助同時缺乏name和value的cookie導(dǎo)致拒絕服務(wù)(守護(hù)進(jìn)程崩潰).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://svn.apache.org/viewvc?view=revision&revision=1227292'
'CVE-2011-3348', 'Apache HTTP Server mod_proxy_ajp拒絕服務(wù)漏洞', 'Apache HTTP Server是美國阿帕奇(Apache)軟件基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server的mod_proxy_balancer中存在拒絕服務(wù)漏洞.此漏洞源于在與mod_proxy_balancer結(jié)合使用時,mod_proxy_ajp對畸形HTTP請求處理時的錯誤.遠(yuǎn)程攻擊者可通過發(fā)送特制的HTTP請求,造成后端服務(wù)器故障,直到重試超時結(jié)束后才會結(jié)束臨時DoS.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/download.cgi#apache22'
'CVE-2011-0419', 'Apache Portable Runtime和HTTP Server \\\'fnmatch()\\\'棧消耗漏洞', 'APR(Apache portable Run-time libraries,Apache可移植運(yùn)行庫)的目的如其名稱一樣,主要為上層的應(yīng)用程序提供一個可以跨越多操作系統(tǒng)平臺使用的底層支持接口庫.NetBSD是NetBSD基金會開發(fā)的一套免費(fèi)開源的類Unix操作系統(tǒng). Apache Portable Runtime (APR)庫1.4.3之前版本,Apache HTTP Server 2.2.18之前版本的apr_fnmatch.c中存在棧消耗漏洞.該漏洞是由于“fnmatch()”函數(shù)的實(shí)現(xiàn)沒有正確限制它的遞歸調(diào)用,遠(yuǎn)程攻擊者可以借助first參數(shù)中的*?序列導(dǎo)致拒絕服務(wù)(CPU和內(nèi)存消耗).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://httpd.apache.org/download.cgi#apache22'
'CVE-2021-20837', '移動式RCE漏洞()-主動檢查', 'Movable Type容易出現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)漏洞.', '有關(guān)解決方案,請參閱參考的供應(yīng)商建議.'
'CVE-2019-13057, CVE-2019-13565', 'OpenLDAP <2.4.48多個漏洞', 'CVE-2019-13057:OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.48之前版本中的服務(wù)器存在安全漏洞.目前尚無此漏洞的相關(guān)信息,請隨時關(guān)注CNNVD或廠商公告.\nCVE-2019-13565:OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的開源實(shí)現(xiàn). OpenLDAP 2.4.48之前的2.x版本中存在安全漏洞.攻擊者可利用該漏洞獲取訪問權(quán)限.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://www.openldap.org/lists/openldap-announce/201907/msg00001.html'
'CVE-2017-9287', 'OpenLDAP 安全漏洞', 'OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的自由和開源實(shí)現(xiàn),它已被包含在Linux發(fā)行版中. OpenLDAP 2.4.44及之前的版本中的servers/slapd/back-mdb/search.c文件存在雙重釋放漏洞.攻擊者可利用該漏洞造成拒絕服務(wù)(崩潰).', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: http://www.openldap.org/its/?findid=8655'
'CVE-2015-6908', 'OpenLDAP 拒絕服務(wù)漏洞', 'OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的自由和開源實(shí)現(xiàn),它已被包含在Linux發(fā)行版中. OpenLDAP 2.4.42及之前版本的libraries/liblber/io.c文件中的‘ber_get_next’函數(shù)存在安全漏洞.遠(yuǎn)程攻擊者可借助特制的BER數(shù)據(jù)利用該漏洞造成拒絕服務(wù)(允許斷言和應(yīng)用程序崩潰).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.openldap.org/devel/gitweb.cgi?p=openldap.git;a=commit;h=6fe51a9ab04fd28bbc171da3cf12f1c1040d6629'
'CVE-2015-3276', 'OpenLDAP 安全漏洞', 'OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的自由和開源實(shí)現(xiàn),它已被包含在Linux發(fā)行版中. OpenLDAP的libraries/libldap/tls_m.c文件中的‘nss_parse_ciphers’函數(shù)存在安全漏洞,該漏洞源于程序沒有正確解析OpenSSL-style multi-keyword模式的密碼字符串.遠(yuǎn)程攻擊者可通過發(fā)送特制的密碼請求使程序使用弱密碼.', '目前廠商已發(fā)布新版本,以修復(fù)此安全問題,詳情請關(guān)注廠商主頁: http://www.openldap.org/'
'CVE-2013-4449', 'OpenLDAP ‘rwm_conn_destroy’拒絕服務(wù)漏洞', 'OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的自由和開源實(shí)現(xiàn),它已被包含在Linux發(fā)行版中. OpenLDAP 2.4.23版本和2.4.36及之前的版本中的rwm overlay存在安全漏洞,該漏洞源于程序沒有正確處理引用計(jì)數(shù),造成rwm_conn_destroy釋放會話內(nèi)容.遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)(slapd崩潰).', '目前廠商還沒有提供此漏洞的相關(guān)補(bǔ)丁或者升級程序,建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本: http://www.openldap.org/'
'CVE-2012-2668', 'OpenLDAP安全漏洞', 'OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的自由和開源實(shí)現(xiàn),它已被包含在Linux發(fā)行版中. OpenLDAP在使用Mozilla NSS后端時存在一個安全漏洞.攻擊者可利用該漏洞獲取敏感信息,這可能導(dǎo)致其他的攻擊.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.openldap.org/its/index.cgi?findid=7285'
'CVE-2012-1164', 'OpenLDAP 拒絕服務(wù)漏洞', 'OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的自由和開源實(shí)現(xiàn),它已被包含在Linux發(fā)行版中. OpenLDAP 2.4.30版本中的slapd中存在漏洞,此漏洞已修復(fù).惡意攻擊者可利用該漏洞導(dǎo)致DoS(拒絕服務(wù)).', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://rhn.redhat.com/errata/RHSA-2012-0899.html'
'CVE-2011-4079', 'OpenLDAP ‘UTF8StringNormalize()’ 遠(yuǎn)程緩沖區(qū)錯誤漏洞', 'OpenLDAP是美國OpenLDAP基金會的一個輕型目錄訪問協(xié)議(LDAP)的自由和開源實(shí)現(xiàn),它已被包含在Linux發(fā)行版中. OpenLDAP在實(shí)現(xiàn)上存在遠(yuǎn)程緩沖區(qū)溢出漏洞,攻擊者可利用此漏洞使受影響應(yīng)用程序崩潰,可能會執(zhí)行任意代碼.', '目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)此安全問題,補(bǔ)丁獲取鏈接: http://www.openldap.org/software/download/'
'CVE-2021-3441', 'HP OfficeJet 7110 XSS漏洞(HPSBPI03742)', '惠普OfficeJet 7110寬格式電子打印機(jī)易于跨站點(diǎn) 腳本攻擊(XSS)脆弱性.', '更新到2117A或更高版本.'
'CVE-2021-24869, CVE-2021-24870', 'WordPress WP最快緩存插件0.9.5多個漏洞', 'WordPress插件WP最快緩存容易出現(xiàn)多個 漏洞.', '更新到0.9.5或更高版本.'
'CVE-2021-39321', 'WordPress Sassy Social Share插件3.3.24 PHP對象注入漏洞', 'WordPress插件Sassy Social Share很容易使用PHP 對象注入漏洞.', '更新到3.3.24或更高版本.'
'CVE-2021-24702', 'WordPress LearnPress插件<4.1.3.1 XSS漏洞', 'WordPress的LearnPress插件很容易跨站 腳本攻擊(XSS)脆弱性.', '更新到4.1.3.1或更高版本.'
'CVE-2021-39348', 'WordPress LearnPress插件<4.1.3.2 XSS漏洞', 'WordPress的LearnPress插件很容易跨站 腳本攻擊(XSS)脆弱性.', '更新到4.1.3.2或更高版本.'
'CVE-2021-24381', 'WordPress忍者窗體插件3.5.8.2 XSS漏洞', 'WordPress的Ninja Forms插件很容易跨站點(diǎn) 腳本攻擊(XSS)脆弱性.', '升級到3.5.8.2或更高版本.'
'CVE-2021-24608, CVE-2021-39330', 'WordPress強(qiáng)大的窗體生成器插件5.0.07多個漏洞', 'WordPress插件強(qiáng)大的窗體生成器易于 多個漏洞.', '更新到5.0.07或更高版本.'
'CVE-2021-24884', 'WordPress強(qiáng)大的窗體生成器插件4.09.05 XSS漏洞', 'WordPress插件強(qiáng)大的窗體生成器易于 跨站腳本(XSS)漏洞.', '更新到4.09.05或更高版本.'
'CVE-2021-20135', '站得住腳的Nessus <10.0.0特權(quán)升級漏洞(TNS-2021-18)', 'Nessus容易出現(xiàn)特權(quán)升級漏洞.', '更新到10.0.0或更高版本.'
'CVE-2021-35567, CVE-2021-35550, CVE-2021-35586, CVE-2021-35564,\n\n                CVE-2021-35561, CVE-2021-35565, CVE-2021-35559, CVE-2021-35578,\n\n                CVE-2021-35556, CVE-2021-35603, CVE-2021-35588', 'Oracle OpenJDK多個漏洞()', 'Oracle OpenJDK容易出現(xiàn)多種漏洞.', '供應(yīng)商已經(jīng)發(fā)布了更新.請參閱參考資料 更多的信息.'
'CVE-2021-37147, CVE-2021-37148, CVE-2021-37149, CVE-2021-41585,\n\n                CVE-2021-43082', 'Apache Traffic Server (ATS) 8.0.0 <8.1.3 9.0.0 <9.1.1多個漏洞', 'Apache Traffic Server容易出現(xiàn)多個漏洞.', '升級到8.1.3、9.1.1或更高版本.'
'CVE-2021-38161', 'Apache Traffic Server (ATS) 8.0.0 <8.1.3證書脆弱性', 'Apache Traffic Server容易丟失TSL證書 驗(yàn)證漏洞.', '更新到8.1.3或更高版本.'
'CVE-2021-34798, CVE-2021-36160, CVE-2021-39275, CVE-2021-40438', '針對apache2的安全建議(DSA-4982-1)', 'CVE-2021-34798:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.48及之前版本存在安全漏洞,該漏洞源于格式錯誤的請求可能會導(dǎo)致服務(wù)器取消對NULL指針的引用.\nCVE-2021-36160:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 存在安全漏洞,攻擊者可利用該漏洞通過一個精心設(shè)計(jì)的請求uri路徑導(dǎo)致mod代理uwsgi讀取上面分配的內(nèi)存并崩潰(DoS).\nCVE-2021-39275:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server 2.4.48及之前版本存在緩沖區(qū)錯誤漏洞,該漏洞源于當(dāng)給定惡意輸入時,ap_escape_quotes()可能會寫入緩沖區(qū)之外的內(nèi)容.\nCVE-2021-40438:Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網(wǎng)頁服務(wù)器.該服務(wù)器具有快速、可靠且可通過簡單的API進(jìn)行擴(kuò)充的特點(diǎn). Apache HTTP Server存在代碼問題漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品的代碼開發(fā)過程中存在設(shè)計(jì)或?qū)崿F(xiàn)不當(dāng)?shù)膯栴}.', 'CVE-2021-34798:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: httpd.apache.org/security/vulnerabilities_24.html\nCVE-2021-36160:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://lists.apache.org/thread.html/ree7519d71415ecdd170ff1889cab552d71758d2ba2904a17ded21a70@%3Ccvs.httpd.apache.org%3E\nCVE-2021-39275:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://httpd.apache.org/security/vulnerabilities_24.html\nCVE-2021-40438:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://access.redhat.com/security/cve/cve-2021-40438'
'CVE-2021-20267, CVE-2021-38598, CVE-2021-40085', 'Debian: neutron的安全建議(DSA-4983-1)', 'CVE-2021-20267:OpenStack是美國國家航空航天局(National Aeronautics and Space Administration)和美國Rackspace公司合作研發(fā)的一個云平臺管理項(xiàng)目. Openstack Neutron 存在數(shù)據(jù)偽造問題漏洞,該漏洞源于在默認(rèn)Open vSwitch防火墻規(guī)則中發(fā)現(xiàn)了一個缺陷,攻擊者可通過發(fā)送精心設(shè)計(jì)的數(shù)據(jù)包,任何控制連接到虛擬交換機(jī)的服務(wù)器實(shí)例的人都可以模擬網(wǎng)絡(luò)上其他系統(tǒng)的IPv6地址,從而導(dǎo)致拒絕服務(wù).以下產(chǎn)品及型號會受到影響:openstack-neutron 15.3.3、openstack-neutron 16.3.1、openstack-neutron 17.1.1之前的版本.\nCVE-2021-38598:netfilter是一款使用在Linux系統(tǒng)中的數(shù)據(jù)包過濾框架. Netfilter 存在安全漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2021-40085:OpenStack是美國國家航空航天局(National Aeronautics and Space Administration)和美國Rackspace公司合作研發(fā)的一個云平臺管理項(xiàng)目. OpenStack Neutron 存在安全漏洞,該漏洞源于軟件中對于extra_dhcp_opts的值缺乏有效的驗(yàn)證和過濾,攻擊者通過提供特制的值可以對dnsmasq進(jìn)程進(jìn)行任意配置', 'CVE-2021-20267:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://review.opendev.org/c/openstack/neutron/+/776599\nCVE-2021-38598:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://launchpad.net/bugs/1938670\nCVE-2021-40085:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://review.opendev.org/c/openstack/neutron/+/806750/'
'CVE-2021-41133', 'Debian: flatpak的安全建議(DSA-4984-1)', '遠(yuǎn)程主機(jī)缺少對“flatpak”的更新 通過DSA-4984-1公告宣布的包裹.', '對于穩(wěn)定分布(靶心),這個問題已經(jīng)被解決了 1.10.5-0 + deb11u1版本. 我們建議您升級您的flatpak包.'
'CVE-2021-39200, CVE-2021-39201', 'wordpress (DSA-4985-1)安全建議', 'CVE-2021-39200:WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站. WordPress 存在信息泄露漏洞,該漏洞源于函數(shù) wp_die() 的輸出數(shù)據(jù)在某些情況下可能會泄漏,其中可能包括隨機(jī)數(shù)等數(shù)據(jù).\nCVE-2021-39201:WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發(fā)的博客平臺.該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站. WordPress 5.8之前版本存在跨站腳本漏洞,該漏洞允許經(jīng)過身份驗(yàn)證但權(quán)限較低的用戶在編輯器中執(zhí)行XSS.', 'CVE-2021-39200:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-m9hc-7v5q-x8q5\nCVE-2021-39201:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/WordPress/wordpress-develop/security/advisories/GHSA-wh69-25hr-h94v'
'CVE-2021-30640, CVE-2021-41079', 'Debian: tomcat9安全建議(DSA-4986-1)', 'CVE-2021-30640:Apache Tomcat是美國阿帕奇(Apache)基金會的一款輕量級Web應(yīng)用服務(wù)器.該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持. Apache Tomcat存在授權(quán)問題漏洞,該漏洞源于Apache Tomcat 的 JNDI 領(lǐng)域中的一個漏洞允許攻擊者使用有效用戶名的變體進(jìn)行身份驗(yàn)證和/或繞過鎖定領(lǐng)域提供的某些保護(hù).\nCVE-2021-41079:Apache Tomcat是美國阿帕奇(Apache)基金會的一款輕量級Web應(yīng)用服務(wù)器.該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持. Apache Tomcat 存在安全漏洞,該漏洞源于程序處理某些 TLS 數(shù)據(jù)包時存在無限循環(huán),遠(yuǎn)程攻擊者可以向應(yīng)用程序發(fā)送特制的數(shù)據(jù)包,消耗所有可用的系統(tǒng)資源并導(dǎo)致拒絕服務(wù)條件.', 'CVE-2021-30640:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://lists.apache.org/thread.html/r59f9ef03929d32120f91f4ea7e6e79edd5688d75d0a9b65fd26d1fe8%40%3Cannounce.tomcat.apache.org%3E\nCVE-2021-41079:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://tomcat.apache.org/security-10.html.'
'CVE-2021-41072', 'squashfs-tools 后置鏈接漏洞', 'squashfs-tools是一個開源軟件包. Squashfs-Tools 4.5 中 unsquash-2.c 中的 squashfs_opendir存在安全漏洞,該漏洞源于一個經(jīng)過精心設(shè)計(jì)的squashfs文件系統(tǒng)包含一個符號鏈接,然后文件系統(tǒng)中相同文件名下的內(nèi)容會導(dǎo)致unsquashfs首先創(chuàng)建指向預(yù)期目錄之外的符號鏈接,然后隨后的寫操作將導(dǎo)致unsquashfs進(jìn)程寫入通過文件系統(tǒng)中其他地方的符號鏈接.', '目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/plougher/squashfs-tools/commit/e0485802ec72996c20026da320650d8362f555bd'
'CVE-2021-25633, CVE-2021-25634', 'Debian: libreoffice安全建議(DSA-4988-1)', '遠(yuǎn)程主機(jī)缺少“l(fā)ibreoffice”的更新 通過DSA-4988-1公告宣布的方案.', '對于穩(wěn)定分布(靶心),這些問題已經(jīng)被解決了 1:7.0.4-4 + deb11u1版本. 我們建議您升級您的libreoffice軟件包.'
'CVE-2021-41990, CVE-2021-41991', 'Debian:安全顧問(DSA-4989-1)', '遠(yuǎn)程主機(jī)缺少對\'strongswan\'的更新 通過DSA-4989-1公告宣布的包.', '對于舊的穩(wěn)定分布(buster),這些問題已經(jīng)被修復(fù) 在版本5.7.2-1 + deb10u1. 對于穩(wěn)定分布(靶心),這些問題已經(jīng)被解決了 5.9.1-1 + deb11u1版本. 我們建議您升級您的strongswan軟件包.'
'CVE-2020-20445, CVE-2020-20446, CVE-2020-20453, CVE-2020-21041, CVE-2020-22015, CVE-2020-22016, CVE-2020-22017, CVE-2020-22019, CVE-2020-22020, CVE-2020-22021, CVE-2020-22022, CVE-2020-22023, CVE-2020-22025, CVE-2020-22026, CVE-2020-22027, CVE-2020-22028, CVE-2020-22029, CVE-2020-22030, CVE-2020-22031, CVE-2020-22032, CVE-2020-22033, CVE-2020-22034, CVE-2020-22035, CVE-2020-22036, CVE-2020-22037, CVE-2020-22049, CVE-2020-22054, CVE-2020-35965, CVE-2021-38114, CVE-2021-38171, CVE-2021-38291', 'Debian: ffmpeg安全建議(DSA-4990-1)', 'CVE-2020-20445:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案.Divi是一款數(shù)字貨幣. FFmpeg 4.2 版本存在安全漏洞,該漏洞源于 libavcodec/lpc.h的\"除零\"問題,這允許遠(yuǎn)程惡意用戶導(dǎo)致拒絕服務(wù).\nCVE-2020-20446:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2版本存在安全漏洞,該漏洞源于libavcodec/aacpsy.c的“除零”問題,這允許遠(yuǎn)程惡意用戶導(dǎo)致拒絕服務(wù).\nCVE-2020-20453:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2 版本存在安全漏洞,該漏洞源于 libavcodec/aaccoder的“除零”問題,這允許遠(yuǎn)程惡意用戶導(dǎo)致拒絕服務(wù)\nCVE-2020-21041:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.1版本存在緩沖區(qū)錯誤漏洞,該漏洞可能會讓遠(yuǎn)程惡意用戶導(dǎo)致拒絕服務(wù)\nCVE-2020-22015:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2 存在緩沖區(qū)錯誤漏洞,該漏洞可能讓遠(yuǎn)程惡意用戶獲取敏感信息,導(dǎo)致拒絕服務(wù),或執(zhí)行任意代碼.\nCVE-2020-22016:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2版本存在安全漏洞,該漏洞源于libavcodec/get_bits.h中寫入.mov文件時存在基于堆的緩沖區(qū)溢出漏洞,這可能會導(dǎo)致內(nèi)存損壞和其他潛在后果.\nCVE-2020-22017:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2存在安全漏洞,該漏洞由于一個基于堆的緩沖區(qū)溢出漏洞,它可能會導(dǎo)致內(nèi)存損壞和其他潛在的后果.\nCVE-2020-22019:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 存在緩沖區(qū)錯誤漏洞,該漏洞源于FFmpeg 4.2版本在convolution_y_10bit in libavfilter/vf_vmafmotion.c中convolution_y_10bit存在緩沖區(qū)溢出漏洞,遠(yuǎn)程攻擊者可通過該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-22020:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 存在緩沖區(qū)錯誤漏洞,該漏洞源于FFmpeg 4.2版本libavfilter/vf_fieldmatch.c中的build_diff_map方法存在緩沖區(qū)溢出漏洞.遠(yuǎn)程攻擊者可通過該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-22021:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 存在緩沖區(qū)錯誤漏洞,該漏洞源于Ffmpeg 4.2版本libavfilter/vf_yadif.c中filter_edges方法存在緩沖區(qū)溢出漏洞.攻擊者可通過該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-22022:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2存在安全漏洞,該漏洞源于存在一個基于堆的緩沖區(qū)溢出漏洞,可能導(dǎo)致內(nèi)存損壞和其他潛在的后果.\nCVE-2020-22023:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2中l(wèi)ibavfilter vf bitplanenoise.c的filter frame中存在安全漏洞,該漏洞源于基于堆的緩沖區(qū)溢出,這可能會導(dǎo)致內(nèi)存損壞和其他潛在的后果.\nCVE-2020-22025:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg中的gaussian_blur 存在安全漏洞,該漏洞源于libavfilter/vf_edgedetect.c存在基于堆的緩沖區(qū)溢出,導(dǎo)致內(nèi)存損壞和其他潛在的后果.\nCVE-2020-22026:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2中的libavfilter / af_tremolo.c中的config_input函數(shù)存在安全漏洞,該漏洞可能允許遠(yuǎn)程攻擊者導(dǎo)致拒絕服務(wù).\nCVE-2020-22027, CVE-2020-22032:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2存在安全漏洞,該漏洞源于存在一個基于堆的緩沖區(qū)溢出漏洞,這可能會導(dǎo)致內(nèi)存損壞和其他潛在的后果.\nCVE-2020-22028:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2中的libavfilter / vf_avgblur.c中的filter_vertically_8存在安全漏洞,該漏洞可能允許遠(yuǎn)程攻擊者導(dǎo)致拒絕服務(wù).\nCVE-2020-22029:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2版本存在安全漏洞,該漏洞源于libavfilter/vf_colorconstancy.c的slice_get_derivative中存在基于堆的緩沖區(qū)溢出漏洞,其中crossfade_samples_fltp可能導(dǎo)致內(nèi)存損壞和其他潛在后果.\nCVE-2020-22030:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2版本存在安全漏洞,該漏洞源于libavfilter/af_afade.c的crossfade_samples_fltp中存在基于堆的緩沖區(qū)溢出漏洞,這可能會導(dǎo)致內(nèi)存損壞和其他潛在后果.\nCVE-2020-22031:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2版本存在安全漏洞,該漏洞源于libavfilter/vf_w3fdif.c的filter16_complex_low中存在基于堆的緩沖區(qū)溢出漏洞,這可能會導(dǎo)致內(nèi)存損壞和其他潛在后果.\nCVE-2020-22033:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2存在安全漏洞,該漏洞源于FFmpeg 4.2在libavfilter vf vmafmotion.c可以讓遠(yuǎn)程惡意用戶導(dǎo)致拒絕服務(wù).\nCVE-2020-22034:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2存在緩沖區(qū)錯誤漏洞,該漏洞源于存在一個基于堆的緩沖區(qū)溢出漏洞可能會導(dǎo)致內(nèi)存損壞.\nCVE-2020-22035:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2 版本存在安全漏洞,該漏洞源于存在一個基于堆的緩沖區(qū)溢出漏洞,可能導(dǎo)致內(nèi)存損壞和其他潛在的后果.\nCVE-2020-22036:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2 存在安全漏洞,該漏洞源于libavfilter vf bwdif.c的filter intra中存在一個基于堆的緩沖區(qū)溢出,成功利用該漏洞可能會導(dǎo)致內(nèi)存損壞和其他潛在的后果.\nCVE-2020-22037:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2 存在安全漏洞,該漏洞源于options.c的avcodec_alloc_context3內(nèi)存泄漏.\nCVE-2020-22049:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2 版本中存在資源管理錯誤漏洞,該漏洞源于在wtvdec.c文件中的 wtvfile_open_sector function 存在內(nèi)存泄漏.攻擊者可通過該漏洞導(dǎo)致拒絕服務(wù).\nCVE-2020-22054:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.2 存在安全漏洞,該漏洞源于dict.c中的av字典集函數(shù)存在內(nèi)存泄漏.攻擊者可利用該漏洞進(jìn)行拒絕服務(wù)攻擊.\nCVE-2020-35965:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 4.3.1版本存在緩沖區(qū)錯誤漏洞,該漏洞源于計(jì)算何時執(zhí)行memset零操作時出現(xiàn)了錯誤.\nCVE-2021-38114:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg存在安全漏洞,該漏洞源于FFmpeg 4.4中的libavcodec dnxhddec.c沒有檢查init vlc函數(shù)的返回值.\nCVE-2021-38171:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. Ffmpeg 存在安全漏洞,該漏洞源于FFmpeg 4.4 中 libavformat/adtsenc.c 中的 adts_decode_extradata 不檢查 init_get_bits 返回值,這是必要的步驟,因?yàn)榭梢灾谱?init_get_bits 的第二個參數(shù).\nCVE-2021-38291:FFmpeg是FFmpeg(Ffmpeg)團(tuán)隊(duì)的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案. FFmpeg 存在安全漏洞,該漏洞源于src/libavutil/mathematics.c 處遭遇斷言失敗.', 'CVE-2020-20445:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://trac.ffmpeg.org/ticket/7996\nCVE-2020-20446:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://trac.ffmpeg.org/ticket/7995\nCVE-2020-20453:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://trac.ffmpeg.org/ticket/8003\nCVE-2020-21041:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://trac.ffmpeg.org/ticket/7989\nCVE-2020-22015:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://trac.ffmpeg.org/ticket/8190\nCVE-2020-22016, CVE-2020-22029, CVE-2020-22030, CVE-2020-22031:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://trac.ffmpeg.org/ticket/8183\nCVE-2020-22017:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8309\nCVE-2020-22019:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://trac.ffmpeg.org/ticket/8241\nCVE-2020-22020:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8239\nCVE-2020-22021:目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法: https://trac.ffmpeg.org/ticket/8240\nCVE-2020-22022:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8264\nCVE-2020-22023:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8244\nCVE-2020-22025:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8260\nCVE-2020-22026:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8317\nCVE-2020-22027:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8242\nCVE-2020-22028:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8274\nCVE-2020-22032:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8275\nCVE-2020-22033:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8246\nCVE-2020-22034:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8236\nCVE-2020-22035:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8262\nCVE-2020-22036:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8261\nCVE-2020-22037:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8281\nCVE-2020-22049:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: http://git.videolan.org/?p=ffmpeg.git;a=commitdiff;h=373c1c9b691fd4c6831b3a114a006b639304c2af\nCVE-2020-22054:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/8315\nCVE-2020-35965:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/FFmpeg/FFmpeg/commit/b0a8b40294ea212c1938348ff112ef1b9bf16bb3\nCVE-2021-38114:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://github.com/FFmpeg/FFmpeg/commit/7150f9575671f898382c370acae35f9087a30ba1\nCVE-2021-38171:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,詳情請關(guān)注廠商主頁: https://patchwork.ffmpeg.org/project/ffmpeg/patch/AS8P193MB12542A86E22F8207EC971930B6F19@AS8P193MB1254.EURP193.PROD.OUTLOOK.COM/\nCVE-2021-38291:目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接: https://trac.ffmpeg.org/ticket/9312'
'CVE-2021-21703', 'php7.4的安全建議(DSA-4992-1)', '遠(yuǎn)程主機(jī)缺少\'php7.4\'的更新 通過DSA-4992-1公告宣布的方案.', '對于穩(wěn)定分布(靶心),這個問題已經(jīng)被解決了 7.4.25-1 + deb11u1版本. 我們建議您升級您的php7.4包.'
'CVE-2021-21703', 'php7.3的安全建議(DSA-4993-1)', '遠(yuǎn)程主機(jī)缺少\'php7.3\'的更新 通過DSA-4993-1公告宣布的包.', '對于舊的穩(wěn)定分布(buster),這個問題已經(jīng)被修復(fù) 在版本7.3.31-1 ~ deb10u1. 我們建議您升級您的php7.3包.'

 
 

上一篇:標(biāo)準(zhǔn)化更新-BDSEC_upgrade_package_2021-11

下一篇:Data.2021.11.04.006464