标准化升级包

标准化更新-BDSEC_upgrade_package_2021-04

来源:聚铭网络    发布时间:2021-04-19    浏览次数:
 

升级包下载链接:SP_001_n_upgrade_package_2021-04-15.zip


新增H3C Firewall-V5标准化解析策略
茂名电信-优化Amaranten Router标准化策略
优化-linux-标准化策略-(redhat)
优化-gitlab-标准化策略-(gitlab)
新增H3C Firewall-V7标准化解析策略
优化-NSFOCUS SAS-标准化策略-(绿盟日志)
新增Huawei NE40E(TZ)标准化策略
优化-sangfor edr-标准化策略-(深信服EDR)
优化SANGFOR NGAF标准化
优化Amaranten Router标准化策略
优化Sangfor AD标准化解析策略
优化-sangfor ac-(深信服AC)
优化-NSFocus NIPS-(绿盟NIPS)
新增-KOAL-NDS-(格尔网络安全检测平台)
新增DBapp APT 标准化策略
新增-huawei AntiDDoS8030-(华为ddos防御系统)
新增-lanysec LanyEye-(兰云科技 兰眼BDS)
优化-windows和中间件日志识别-windows和Tomcat
优化Venustech IDS标准化策略


新增基线麒麟操作系统
优化基线
更新插件
CVE-2021-0326 wpa_supplicant是一款跨平台的WPA请求程序.该程序支持WEP、WPA和WPA2等. wpa_supplicant 存在缓冲区错误漏洞,该漏洞可能使本地恶意应用程序绕过用户交互要求,以访问其他权限.
CVE-2021-1844 Apple Safari是美国苹果(Apple)公司的一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器. Safari 14.0.3 存在安全漏洞, Safari在处理攻击者发送的恶意Web内容时可能导致任意代码执行.
CVE-2021-2011 Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统. Oracle MySQL 的 MySQL Client 存在安全漏洞,该漏洞允许未经身份验证的攻击者过多种协议进行网络访问,从而危害MySQL客户端.以下产品及版本受到影响:MySQL Client--C API--5.7.32 and prior, 8.0.22 and prior.
CVE-2021-20179 pki-core是一款为PKI操作提供API的库. pki-core 存在安全漏洞,攻击者可利用该漏洞可以反复更新相应的证书,只要证书没有被显式撤销.
CVE-2021-20205 DRC libjpeg-turbo是 DRC开源的一个应用软件.提供一个JPEG图像编解码器,它使用SIMD指令来加速x86,x86-64,Arm,PowerPC和MIPS系统上的基线JPEG压缩和解压缩,以及x86,x86-64和Arm系统上的渐进JPEG压缩. Libjpeg-turbo versions 2.0.91 and 2.0.90 存在安全漏洞,该漏洞源于在处理精心制作的GIF图像时除以0造成的.
CVE-2021-20270 Red Hat Ansible Automation是 (Red Hat)开源的一个应用软件.提供一个自动化基础架构的各个方面,从服务器和网络设备到操作系统,应用程序和安全性. Red Hat Ansible Automation 存在安全漏洞,该漏洞源于无限循环可能导致DoS.
CVE-2021-20285 Fedora是Fedora社区的一套Linux操作系统. Fedora 存在缓冲区错误漏洞,攻击者可利用该漏洞可以通过canPack()触发内存损坏,以触发拒绝服务,并可能运行代码.
CVE-2021-21252 jQuery是美国John Resig个人开发者的一套开源、跨浏览器的JavaScript库.该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点. jQuery 1.19.3版本之前存在资源管理错误漏洞,该漏洞源于jquery验证包含一个或多个正则表达式,这些正则表达式容易受到ReDoS(正则表达式拒绝服务)的攻击.
CVE-2021-21300 Microsoft Visual Studio是美国微软(Microsoft)公司的一款开发工具套件系列产品,也是一个基本完整的开发工具集,它包括了整个软件存活周期中所需要的大部分工具.Git for Visual Studio是其中的一个Git(分布式版本控制系统)扩展. Git for Visual Studio 存在安全漏洞.以下产品和版本受到影响:Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8),Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3),Microsoft Visual Studio 2019 version 16.7 (includes 16.0 – 16.6),Microsoft Visual Studio 2019 version 16.9 (includes 16.0 - 16.8),Microsoft Visual Studio 2019 version 16.8 (includes 16.0 - 16.7).
CVE-2021-21330 aiohttp before version 3.7.4 存在安全漏洞,该漏洞源于一个开放的重定向漏洞.恶意制作的指向会将浏览器重定向到另一个网站.
CVE-2021-21334 containerd是美国阿帕奇(Apache)基金会的一个容器守护进程.该进程根据 RunC OCI 规范负责控制宿主机上容器的完整周期. 
containerd before versions 1.3.10 and 1.4.4 存在安全漏洞,该漏洞允许共享敏感信息.
CVE-2021-21340 TYPO3是瑞士TYPO3(Typo3)协会的一套免费开源的内容管理系统(框架)(CMS/CMF). TYPO3 Core 存在跨站脚本漏洞,该漏洞源于内容预览渲染器组件中对用户提供的数据的处理不足.
CVE-2021-21358 TYPO3是瑞士TYPO3(Typo3)协会的一套免费开源的内容管理系统(框架)(CMS/CMF). TYPO3 存在跨站脚本漏洞,该漏洞源于表单设计器后端模块中对用户提供的数据的处理不足.
CVE-2021-21359 TYPO3是瑞士TYPO3(Typo3)协会的一套免费开源的内容管理系统(框架)(CMS/CMF). TYPO3 Core 存在安全漏洞,该漏洞允许远程攻击者执行拒绝服务(DoS)攻击.
CVE-2021-21367 DanielForé switchboard-plug-bluetooth是 (DanielForé)开源的一个应用软件.一个配电盘蓝牙插头. Switchboard Bluetooth 存在安全漏洞,攻击者很可能能够未经授权从此类服务中提取数据.
CVE-2021-21370 TYPO3是瑞士TYPO3(Typo3)协会的一套免费开源的内容管理系统(框架)(CMS/CMF). TYPO3 Core 存在跨站脚本漏洞,该漏洞源于内容预览渲染器组件中对用户提供的数据的处理不足.
CVE-2021-21379 Xwiki Platform是法国Xwiki公司的一套用于创建Web协作应用程序的Wiki平台. XWiki Platform 存在注入漏洞,该漏洞源于wiki宏作者的权限执行内容,而不是以该wiki宏的调用者的权限执行内容.
CVE-2021-21380 Thomas Mortagne xwiki-platform是Thomas Mortagne开源的一个应用程序.一个通用的Wiki平台,为基于其构建的应用程序提供运行时服务. XWiki Platform 存在SQL注入漏洞,该漏洞源于评级脚本服务公开一个API来执行SQL请求,而不需要转义搜索参数.
CVE-2021-21381 Flatpak是一套用于Linux桌面应用计算机环境的应用程序虚拟化系统. Flatpak 存在安全漏洞,攻击者可利用该漏洞访问应用程序权限通常不允许的文件.
CVE-2021-21389 BuddyPress 7.2.1 存在安全漏洞,该漏洞源于非特权的普通用户可以通过利用REST API成员端点中的问题获得管理员权限.
CVE-2021-21438 OTRS是德国 (OTRS)公司的一个应用软件.一个服务管理软件. OTRS 存在安全漏洞,该漏洞源于在没有许可的情况下查看链接的FAQ文章.
CVE-2021-21772 Martin Weismann lib3mf是 Martin Weismann开源的一个应用软件.提供3MF读写功能,以及用于输入和输出数据的转换和验证工具. 3MF Consortium lib3mf 2.0.0 存在资源管理错误漏洞,攻击者可利用该漏洞提交恶意文件.
CVE-2021-22134 Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎.该产品主要应用于云计算,并支持通过HTTP使用JSON进行数据索引.Security是其中的一个数据保护组件. Elasticsearch 存在信息泄露漏洞,攻击者可利用该漏洞可以通过Elasticsearch最近更新的文档绕过对数据的访问限制,以获取敏感信息.
CVE-2021-22309 Huawei USG9500等都是中国华为(Huawei)公司的产品.USG9500是一款数据中心防火墙产品.Huawei USG9520是一款应用于大型环境的防火墙设备.Huawei USG9560是一款应用于大型环境的防火墙设备. 多款华为产品存在信息泄露漏洞.攻击者通过暴力破解可获得敏感信息,造成信息泄露.以下产品及型号受到影响:USG9500,Huawei USG9580,Huawei USG9560,Huawei USG9520
CVE-2021-22310 Huawei NIP6300等都是中国华为(Huawei)公司的产品.Huawei NIP6300是一款主要适用于企业、学校、运行商、IDC的入侵防御系统.Huawei NIP6600是一款主要适用于企业、学校、运行商、IDC的入侵防御系统.Huawei Secospace USG6300是一款防火墙设备. 多款华为产品存在信息泄露漏洞.该漏洞源于不合理设计,在某个特殊异常场景下,服务器日志会打印出一些具体的不合理信息,存在可能导致信息泄露风险.以下产品及型号受到影响:Huawei NIP6300,Huawei NIP6600,Huawei Secospace USG6300,Huawei Secospace USG6500,Huawei Secospace USG6600.
CVE-2021-22320 Huawei NGFW Module等都是中国华为(Huawei)公司的产品.NGFW Module是一款下一代防火墙(NGFW)模块.USG6600是一款数据中防火墙产品.Secospace USG6600是一款下一代防火墙产品. Huawei 多款产品存在安全漏洞,该漏洞源于不能正确处理特定的消息.以下产品及版本受到影响:IPS Module, NGFW Module, NIP6600, NIP6800, Secospace USG6300, Secospace USG6500 and Secospace USG6600.
CVE-2021-22321 Huawei S2700等都是中国华为(Huawei)公司的产品.S2700是一款企业级交换机产品.USG9500是一款数据中心防火墙产品.USG6600是一款数据中防火墙产品. Huawei 多款产品存在安全漏洞,攻击者可利用该漏洞执行恶意操作,导致内存闲置后使用,影响正常服务.以下产品及版本收到影响:NIP6300, NIP6600, NIP6800, S1700, S2700, S5700, S6700 , S7700, S9700, Secospace USG6300, Secospace USG6500, Secospace USG6600 and USG9500.
CVE-2021-22880 PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统.该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等. PostgreSQL中存在资源管理错误漏洞,该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当.
CVE-2021-23336 yed是Yworks的一款优秀的绘图软件.该产品可以快速的根据数据生成高质量图表,并且可以通过模板算法根据数据自动生成图表. 
cpython 存在环境问题漏洞,攻击者可利用该漏洞可以使用分号(;)分隔查询参数,导致恶意请求被缓存为完全安全的请求.以下产品及版本受到影响:before 3.6.13, from 3.7.0 and before 3.7.10, from 3.8.0 and before 3.8.8, from 3.9.0 and before 3.9.2.
CVE-2021-23351 Pires go-proxyproto是 (Pires)开源的一个应用软件.提供一种安全的方式,可以跨NAT或TCP代理的多层安全地传输连接信息功能. github.com/pires/go-proxyproto before 0.5.0 存在安全漏洞,该漏洞源于在代码中没有实现限制,V1 header可以使用此代码耗尽服务器进程中的内存,并创建一个DoS.
CVE-2021-23358 Npm underscore是美国Npm公司的一个应用程序.一个JavaScript的实用程序带库,可为常见的可疑功能提供支持,而无需扩展任何核心JavaScript对象. underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1存在安全漏洞,攻击者可利用该漏洞容易通过模板函数执行任意代码.
CVE-2021-23980 Python Bleach是一款基于Python的HTML清理库. Python Bleach 存在跨站脚本漏洞,攻击者可利用该漏洞可以触发跨站点脚本,以便在网站上下文中运行JavaScript代码.
CVE-2021-24130 Wordpress WP Google Map是 (Wordpress)开源的一个应用插件.提供一个将自定义的Google地图或商店定位器快速轻松地添加到WordPress帖子和,或页面中功能. WordPress WP Google Map plugin before 4.1.5 存在SQL注入漏洞,该漏洞源于插件设置的管理位置页面中,容易受到高级特权用户(admin+) SQL注入的攻击.
CVE-2021-24131 Wordpress CleanTalk是 (Wordpress)开源的一个应用插件.提供一个免费的反垃圾邮件插件,可与高级Cloud AntiSpam服务cleantalk.org一起使用. Anti-Spam by CleanTalk WordPress plugin before 5.149 存在SQL注入漏洞,该漏洞源于反垃圾邮件中输入未经验证的信息,导致多个经过验证的SQL注入漏洞.
CVE-2021-24139 Wordpress Photo Gallery是 (Wordpress)开源的一个应用插件.提供一个将响应式画廊和相册添加到的网站功能. WordPress Photo Gallery plugin 存在SQL注入漏洞,该漏洞源于frontend/models/model.php bwg_search_x参数.
CVE-2021-24142 Wordpress Easy Redirect Manager是 (Wordpress)开源的一个应用插件.提供一个管理和创建WordPress网站的301、302、307重定向,以改善SEO和访客体验功能. Easy Redirect Manager WordPress plugin before 2.51存在SQL注入漏洞,该漏洞允许高特权用户执行SQL注入.
CVE-2021-24144 Wordpress Contact Form 7 Database Addon是 (Wordpress)开源的一个应用插件.该插件用来将联系表7提交内容保存到您的WordPress数据库中. 
Contact Form 7 Database Addon plugin before 1.2.5.6 存在注入漏洞,远程攻击者可利用该漏洞可以将任意公式注入CSV文件中.
CVE-2021-25920 OpenEMR是OpenEMR(Openemr)社区的一套开源的医疗管理系统.该系统可用于医疗实践管理、电子医疗记录、处方书写和医疗帐单申请. OpenEMR versions v2.7.2-rc1 to 6.0.0 存在安全漏洞,该漏洞源于创建新用户时容易受到不当的访问控制,从而导致恶意用户能够代表受害用户读取和发送敏感消息.
CVE-2021-25921 OpenEMR是OpenEMR(Openemr)社区的一套开源的医疗管理系统.该系统可用于医疗实践管理、电子医疗记录、处方书写和医疗帐单申请. OpenEMR 2.7.3-rc1 to 6.0.0 存在安全漏洞,该漏洞源于在“Allergies”一节中没有正确验证用户输入.攻击者可利用该漏洞可以引诱管理员输入恶意有效负载,从而发起攻击.
CVE-2021-25922 OpenEMR是OpenEMR(Openemr)社区的一套开源的医疗管理系统.该系统可用于医疗实践管理、电子医疗记录、处方书写和医疗帐单申请. OpenEMR versions 4.2.0 to 6.0.0 存在跨站脚本漏洞,该漏洞源于用户输入没有得到正确的验证.
CVE-2021-26701 Microsoft .NET Core是美国微软(Microsoft)公司的一套免费的开源开发平台.该平台具有多语言支持和跨平台等特点. Microsoft .NET Core 中存在安全漏洞.以下产品和版本受到影响:.NET Core 2.1,.NET Core 3.1,.NET 5.0.
CVE-2021-27055 Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品.该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等. Microsoft Visio 存在安全漏洞.以下产品和版本受到影响:Microsoft Office 2019 for 32-bit editions,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft Office 2019 for 64-bit editions,Microsoft Visio 2013 Service Pack 1 (32-bit editions),Microsoft Visio 2013 Service Pack 1 (64-bit editions),Microsoft Visio 2016 (32-bit edition),Microsoft Visio 2016 (64-bit edition),Microsoft Visio 2010 Service Pack 2 (32-bit editions),Microsoft Visio 2010 Service Pack 2 (64-bit editions).
CVE-2021-27056 Microsoft Office PowerPoint是美国微软(Microsoft)公司的一个用于制作、演示文稿(PPT)的软件. Microsoft PowerPoint 存在安全漏洞.以下产品和版本受到影响:Microsoft PowerPoint 2013 Service Pack 1 (64-bit editions),Microsoft PowerPoint 2013 RT Service Pack 1,Microsoft PowerPoint 2016 (32-bit edition),Microsoft PowerPoint 2016 (64-bit edition),Microsoft PowerPoint 2010 Service Pack 2 (32-bit editions),Microsoft PowerPoint 2010 Service Pack 2 (64-bit editions),Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft PowerPoint 2013 Service Pack 1 (32-bit editions).
CVE-2021-27291 Matthäus G. Chajdas pygments是 (Matthäus G. Chajdas)开源的一个应用软件.提供通用语法突出显示工具功能. pygments 1.1+ 存在安全漏洞,攻击者可利用该漏洞可以导致拒绝服务.
CVE-2021-27358 Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具.该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等. Grafana before 7.4.1 存在安全漏洞,该漏洞允许未经身份验证的远程攻击者通过远程API调用触发拒绝服务.
CVE-2021-27576 Apache OpenMeetings是美国阿帕奇(Apache)基金会的一套多语言可定制的视频会议和协作系统.该产品支持音频、视频并允许用户查看每个与会者的桌面等. Apache OpenMeetings 6.0.0 存在安全漏洞,该漏洞源于netttest web服务可用于超载服务器的带宽.
CVE-2021-27645 GNU C Library(glibc,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序. GNU C Library (aka glibc or libc6) 2.29 through 2.33 存在资源管理错误漏洞,该漏洞源于缓存守护进程(nscd)在处理网络组查找请求时,可能会由于双free而崩溃.
CVE-2021-27803 wpa_supplicant是一款跨平台的WPA请求程序.该程序支持WEP、WPA和WPA2等. wpa_supplicant before 2.10 存在安全漏洞,攻击者可利用该漏洞可能执行任意代码.
CVE-2021-27928 MariaDB是MariaDB(Mariadb)基金会的一套免费开源的数据库管理系统,也是一个采用Maria存储引擎的MySQL分支版本. MariaDB 10.2 before 10.2.37, 10.3 before 10.3.28, 10.4 before 10.4.18, and 10.5 before 10.5.9 存在安全漏洞,不受信任的搜索路径会导致eval注入.
CVE-2021-27962 Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具.该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等. Grafana Enterprise 存在安全漏洞,该漏洞源于具有Editor角色的用户可以绕过组织默认数据源的数据源权限.
CVE-2021-28041 OpenSSH(OpenBSD Secure Shell)是Openbsd计划组的一套用于安全访问远程计算机的连接工具.该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击. OpenSSH before 8.5 存在安全漏洞,攻击者可利用该漏洞在遗留操作系统上不受约束的代理套接字访问.
CVE-2021-28116 Squid是一套代理服务器和Web缓存服务器软件.该软件提供缓存万维网、过滤流量、代理上网等功能. Squid through 4.14 and 5.x through 5.0.5 存在安全漏洞,该漏洞源于WCCP协议数据的越界读取.
CVE-2021-28117 KDE Discover是 (KDE)社区的一个应用程序.提供一个帮助查找和安装应用程序,游戏和工具的功能. KDE Discover before 5.21.3 存在安全漏洞,该漏洞源于KNSResource.cpp会根据store.kde.org网站的内容自动创建指向潜在危险url.
CVE-2021-28133 ZOOM Zoom Client是美国Zoom(ZOOM)公司的一款支持多种平台的视频会议客户端应用程序. Zoom through 5.5.4 存在安全漏洞,该漏洞源于允许攻击者可利用该漏洞读取参与者屏幕上的私人信息.
CVE-2021-28146 Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具.该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等. Grafana 存在安全漏洞,该漏洞源于允许通过外部组绕过授权.
CVE-2021-28147 Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具.该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等. Grafana Enterprise 存在安全漏洞,该漏洞允许通过外部组绕过访问限制.
CVE-2021-28148 Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具.该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等. Grafana 存在安全漏洞,该漏洞源于任何未经身份验证的用户都可以使用观察的HTTP API端点向该端点发送无限数量的请求,从而导致拒绝服务.
CVE-2021-28153 GNOME Glib是一套用于创建图形用户界面的多平台工具包,是GTK+和GNOME工程的基础底层核心程序库. GNOME GLib before 2.66.8 存在安全漏洞,改漏洞源于g_file_replace与G_FILE_CREATE_REPLACE_DESTINATION错误地还将符号链接的目标创建为空文件.
CVE-2021-28375 Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核. Linux kernel through 5.11.6 存在安全漏洞,该漏洞源于fastrpc.c不阻止用户应用程序发送内核RPC消息.
CVE-2021-28378 Gitea是Gitea社区的一个基于Go开发的轻量型git服务. Gitea 1.12.x and 1.13.x before 1.13.4 存在安全漏洞,该漏洞允许在某些情况下通过特定的问题数据进行XSS.
CVE-2021-28543 Martin Blix Grydeland varnish-modules是 (Martin Blix Grydeland)开源的一个应用软件.用于描述具有其他功能的HTTP请求/响应策略. varnish-modules 存在安全漏洞,该漏洞允许远程攻击者在某些配置中导致拒绝服务(守护进程重启).
CVE-2021-28687 Xen是英国剑桥(Cambridge)大学的一款开源的虚拟机监视器产品.该产品能够使不同和不兼容的操作系统运行在同一台计算机上,并支持在运行时进行迁移,保证正常运行并且避免宕机. Xen 存在安全漏洞,攻击者可利用该漏洞软复位管理守护进程触发致命错误.
CVE-2021-28831 BusyBox是乌克兰Denis Vlasenko个人开发者的一套包含了多个linux命令和工具的应用程序. BusyBox through 1.32.1 存在安全漏洞,该漏洞源于错误地处理huft构建结果指针上的错误位,通过畸形的gzip数据导致无效的自由或分段错误.
CVE-2021-28834 Thomas Leitner kramdown是 (Thomas Leitner)开源的一个应用程序.提供一个快速的纯Ruby Markdown超集转换器,使用严格的语法定义并支持几个常用扩展. Kramdown before 2.3.1 存在安全漏洞,该漏洞源于Kramdown没有将Rouge格式化器限制为Rouge:: formatters名称空间.
CVE-2021-28935 CMS Made Simple(CMSMS)是CMSMS(Cmsms)团队的一套开源的内容管理系统(CMS).该系统支持基于角色的权限管理系统、基于向导的安装与更新机制、智能缓存机制等. 
CMS Made Simple (CMSMS) 2.2.15 存在跨站脚本漏洞,该漏洞允许通过admin addbookmark.php脚本通过站点admin >我的首选项>标题字段验证XSS.
CVE-2021-28957 Lxml是Lxml个人开发者的一个可与Python交互用于定位Html中元素的软件. lxml 4.6.2 存在跨站脚本漏洞,该漏洞源于HTML5的formaction属性.
CVE-2021-3137 Xwiki Platform是法国Xwiki公司的一套用于创建Web协作应用程序的Wiki平台. XWiki 12.10.2 存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证.攻击者可利用该漏洞执行客户端代码.
CVE-2021-3138 Discourse是一套开源的社区讨论平台.该平台包括社区、电子邮件和聊天室等功能. Discourse 2.7.0 through beta1 存在安全漏洞,该漏洞源于2FA依赖于certain forms rate-limit.
CVE-2021-3156 Sudo是一款使用于类Unix系统的,允许用户通过安全的方式使用特殊的权限执行命令的程序. Sudo before 1.9.5p2 存在缓冲区错误漏洞,攻击者可使用sudoedit -s和一个以单个反斜杠字符结束的命令行参数升级到root.
CVE-2021-3181 Mutt是Michael Elkins个人开发者的一款用于类Unix系统下且基于文本的邮件客户端. Mutt through 2.0.4 存在安全漏洞,攻击者可利用该漏洞使用一个小的电子邮件消息导致大量内存消耗,并且受害者可能无法看到来自其他人的电子邮件消息.
CVE-2021-3405 Matroska libebml是GlobalMatroska开源的一个应用程序提供用于读取和写入Matroska文件的低级C ++库 libebml before 1.4.2 存在安全漏洞,该漏洞源于libebml中EbmlString::ReadData和EbmlUnicodeString::ReadData的实现中存在一个堆溢出bug.
CVE-2021-3406 CNCF Keylime是 CNCF开源的一个应用软件.提供高度可扩展的远程启动证明和运行时完整性测量解决方案. keylime 5.8.1 and older 存在安全漏洞,该漏洞源于代理认证的信任密码链失效.
CVE-2021-3407 artifex mupdf是个人开发者的一款富文本编辑器.富文本编辑器不同于文本编辑器,程序员可到网上下载免费的富文本编辑器内嵌于自己的网站或程序里(当然付费的功能会更强大些),方便用户编辑文章或信息. mupdf 1.18.0 存在缓冲区错误漏洞,该漏洞源于Double free object可能会导致内存损坏.
CVE-2021-3410 libcaca是开源的一个软件库.可将图像转换为彩色ASCII艺术品. libcaca v0.99.beta19 存在缓冲区错误漏洞,该漏洞源于libcaca caca canvas.c中的caca resize函数中的缓冲区溢出问题可能导致在用户上下文中执行任意代码.
CVE-2021-3420 Red Hat newlib libc是美国红帽(Red Hat)公司的一款主要用于嵌入式系统的C语言库. newlib in versions prior to 4.0.0 存在安全漏洞,该漏洞源于内存分配函数mEMALIGn, pvALLOc, nano_memalign, nano_valloc, nano_pvalloc不当的溢出验证可能导致整数溢出,导致分配一个小缓冲区,然后导致基于堆的缓冲区溢出.
CVE-2021-3429 debian(Debian GUN/Linux)是Debian Project的一个Linux操作系统.该系统拥有更快更容易的内存管理、开源软件的支持、良好的系统安全、较高的稳定性. Debian 存在安全漏洞,攻击者可利用该漏洞可以通过非散列生成的cloud-init密码绕过限制,以升级他的特权.
CVE-2021-3443 JasPer是Michael Adams个人开发者的一个基于C的用于处理图像的工具.该软件支持ISO / IEC 15444-1中定义的JPEG-2000格式,主要用于图像的编码和处理. Jasper 存在代码问题漏洞,攻击者可利用该漏洞可以通过jp2_decode()强制空指针被解引用,从而触发拒绝服务.
CVE-2021-3446 Archlinux libtpms是 Archlinux开源的一个应用程序.提供可信任平台模块(TPM 1.2和TPM 2.0)的软件仿真的库. libtpms in versions before 0.8.2 存在加密问题漏洞,该漏洞源于没有返回最后一个初始化向量,而是返回了初始的初始化向量给调用者,从而削弱了后续的加密和解密步骤.
CVE-2021-3449 OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库.该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在代码问题漏洞,该漏洞导致空指针解引用,导致崩溃和拒绝服务攻击.
CVE-2021-3450 OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库.该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在安全漏洞,该漏洞允许绕过ca证书检查.
CVE-2021-3467 JasPer是Michael Adams个人开发者的一个基于C的用于处理图像的工具.该软件支持ISO / IEC 15444-1中定义的JPEG-2000格式,主要用于图像的编码和处理. Jasper versions before 2.0.26 存在代码问题漏洞,该漏洞源于一个空指针解引用.一个特别制作的JP2图像文件可能会导致应用程序在打开时崩溃.

 
 

上一篇:csv_vul_plugins_202104

下一篇:谷歌漏洞披露政策更新,新增30天缓冲期