漏扫/基线升级包
csv_vul_plugins_202105 |
来源:聚铭网络 发布时间:2021-05-19 浏览次数: |
升级包下载:SP_003_n_upgrade_package_2021-05-12.zip CVE-2013-5653 Artifex Software Ghostscript是美国Artifex Software公司的一款开源的PostScript(一种用于电子产业和桌面出版领域的页面描述语言和编程语言)解析器,它可显示Postscript文件以及在非Postscript打印机上打印Postscript文件. Artifex Software Ghostscript 9.10中的‘getenv’和‘filenameforall’函数存在安全漏洞.远程攻击者可借助特制的postscript文件利用该漏洞读取数据. CVE-2014-0249 System Security Services Daemon(SSSD)是一个系统安全服务守护进程,它是介于本地用户和数据存储之间的进程,支持访问多种验证服务器,如LDAP,Kerberos等,并提供授权. SSSD 1.11.6版本中存在安全漏洞,该漏洞源于程序没有正确识别组成员.本地攻击者可利用该漏洞绕过访问限制. CVE-2014-4040 powerpc-utils是一个为Linux on Power提供支持和维护的工具包. powerpc-utils 1.2.20版本的snap中存在安全漏洞,该漏洞源于程序产生fstab和yaboot.conf文件的存档包含明文密码.远程攻击者可通过对技术支持数据流的访问利用该漏洞获取敏感信息. CVE-2014-6270 Squid(全称Squid Cache)是一套代理服务器和Web缓存服务器软件.该软件提供缓存万维网、过滤流量、代理上网等功能. Squid 2.x版本和3.x版本的snmp_core.cc文件中的‘snmpHandleUdp’函数中存在差一错误漏洞.当程序使用SNMP端口时,远程攻击者可通过发送特制的UDP SNMP请求利用该漏洞造成拒绝服务(崩溃)或执行任意代码. CVE-2014-8240 TigerVNC是一个高级的VNC(远程控制软件)远程访问的实现,它能够查看远程工作站的桌面,也可远程控制计算机的屏幕,且包含了一个JPEG压缩加速器. TigerVNC中存在整数溢出漏洞,该漏洞源于程序没有正确处理屏幕大小.远程攻击者可利用该漏洞造成拒绝服务(崩溃),也可能执行任意代码. CVE-2014-9645 BusyBox是乌克兰软件开发者Denis Vlasenko所负责维护的一套包含了多个linux命令和工具的应用程序. BusyBox 1.23.0之前的版本中的modutils/modprobe.c文件中的‘add_probe’函数存在安全漏洞.本地攻击者可借助模块名中的‘/’字符利用该漏洞绕过加载模块上既定的限制. CVE-2014-9654 Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器.International Components for Unicode(ICU)for C/C++是一个Unicode支持、软件国际化、全球化的C/C++库. Google Chrome 40.0.2214.91之前的版本中的ICU for C/C++ 2014-12-03之前的版本的Regular Expressions package存在安全漏洞.远程攻击者可借助特制的字符串利用该漏洞造成拒绝服务(内存损坏). CVE-2015-0287 OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等. OpenSSL的crypto/asn1/tasn_dec.c文件中的‘ASN1_item_ex_d2i’函数存在安全漏洞,该漏洞源于程序没有重新初始化CHOICE和ADB数据类型.攻击者可借助特制的应用程序利用该漏洞造成拒绝服务(无效的写入操作和内存损坏).以下版本受到影响:OpenSSL 0.9.8zf之前版本,1.0.0r之前1.0.0版本,1.0.1m之前1.0.1版本,1.0.2a之前1.0.2版本. CVE-2015-0294 GnuTLS是一款免费的用于实现SSL、TLS和DTLS协议的安全通信库. GnuTLS中存在信任管理问题漏洞,该漏洞该源于程序没有正确验证证书算法. CVE-2015-0794 Novell openSUSE是美国Novell公司的一套基于Linux的自由操作系统. Novell openSUSE 13.2版本的dracut程序包037-17.30.1之前版本中的modules.d/90crypt/module-setup.sh文件存在安全漏洞.本地攻击者可通过在/tmp/dracut_block_uuid.map文件上实施符号链接攻击利用该漏洞造成未知影响. CVE-2015-1142857 Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核.Linux kernel ixgbe driver和i40e/i40evf driver是其中的网卡驱动程序;DPDK是其中的一个数据平面开发套件. 多款产品中存在安全漏洞.攻击者可利用该漏洞控制其它虚拟机的吞吐量和延迟.以下产品和版本受到影响:Linux kernel ixgbe驱动程序commit f079fa005aae08ee0e1bc32699874ff4f02e11c1之前的版本;Linux Kernel i40e/i40evf驱动程序e7358f54a3954df16d4f87e3cad35063f1c17de5之前的版本;DPDK commit 3f12b9f23b6499ff66ec8b0de941fb469297e5d0之前的版本及多个产商适配器固件. CVE-2015-7552 gdk-pixbuf是一个用于图像加载和像素缓冲处理的工具包. gdk-pixbuf 2.30.x版本的gdk-pixbuf-scale.c文件中的‘gdk_pixbuf_flip’函数存在基于堆的缓冲区溢出漏洞.远程攻击者可借助特制的BMP文件利用该漏洞造成拒绝服务,或执行任意代码. CVE-2015-8710 Libxml2是GNOME项目组所研发的一个基于C语言的用来解析XML文档的函数库,它支持多种编码格式、Xpath解析、Well-formed和valid验证等. Libxml2的HTMLparser.c文件中的‘htmlParseComment’函数存在安全漏洞.攻击者可借助打开的HTML评论利用该漏洞获取敏感信息,造成拒绝服务(越边界堆内存访问和应用程序崩溃). CVE-2016-10040 Digia Qt是芬兰Digia公司的一套跨平台的C++应用程序开发框架.该框架可用于开发GUI程序. Digia Qt 4.8.5版本中的QXmlSimpleReader存在基于栈的缓冲区溢出漏洞.远程攻击者可利用该漏洞造成拒绝服务(应用程序崩溃). CVE-2016-1602 Novell SuSE Linux Enterprise Server和SUSE Linux Enterprise Desktop都是美国Novell公司的企业服务器版Linux操作系统. Novell SUSE Linux Enterprise Server 12和12-SP1版本和SUSE Linux Enterprise Desktop 12和12-SP1版本中的supportutils的supportconfig数据收集工具存在代码注入漏洞.本地攻击者可利用该漏洞执行任意代码. CVE-2016-1923 OpenJPEG是一款基于C语言的开源JPEG 2000编码解码器. OpenJpeg 2016.1.18版本的‘opj_j2k_update_image_data’函数中存在基于堆的缓冲区溢出漏洞.远程攻击者可借助特制的JPEG 2000图像利用该漏洞造成拒绝服务(越边界读取和应用程序崩溃). CVE-2016-3190 Cairo是软件开发者Carl Worth和Behdad Esfahbod共同研发的一个跨平台的开源矢量图形函数库,它支持在多个背景下做2D绘图,并提供高质量的显示和打印输出. Cairo 1.14.2之前版本的cairo-image-compositor.c文件中的‘fill_xrgb32_lerp_opaque_spans’函数存在安全漏洞.远程攻击者可借助负的span长度值利用该漏洞造成拒绝服务(越边界读取和应用程序崩溃). CVE-2016-3627 Libxml2是GNOME项目组所研发的一个基于C语言的用来解析XML文档的函数库,它支持多种编码格式、Xpath解析、Well-formed和valid验证等. libxml2 2.9.3及之前版本的tree.c文件中的‘xmlStringGetNodeList’函数存在安全漏洞.当程序工作在恢复模式时,攻击者可借助特制的XML文档利用该漏洞造成拒绝服务(无限递归,栈损坏和应用程序崩溃). CVE-2016-3977 giflib是GIFLIB项目负责维护的一个用于处理GIF图像的库及实用程序.gif2rgb是其中的一个基于C语言将GIF文件格式转换为RGB24格式的模块. giflib 5.1.2版本的gif2rgb中的util/gif2rgb.c文件存在基于堆的缓冲区溢出漏洞.远程攻击者可借助GIF文件中的背景颜色索引利用该漏洞造成拒绝服务(应用程序崩溃). CVE-2016-4470 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核.NFSv4 implementation是其中的一个分布式文件系统协议. Linux kernel 4.6.3及之前版本的arch/x86/kvm/vmx.c文件中存在安全漏洞,该漏洞源于程序没有正确处理APICv on/off状态.虚拟机端攻击者可借助x2APIC模式利用该漏洞获取主机操作系统的直接的APIC MSR访问权限,造成拒绝服务(主机操作系统崩溃),或执行任意代码. CVE-2016-4983 Dovecot是一款开源的基于类Linux/UNIX系统的IMAP和POP3邮件服务器. Dovecot中存在信息泄露漏洞.该漏洞源于网络系统或产品在运行过程中存在配置等错误.未授权的攻击者可利用漏洞获取受影响组件敏感信息. CVE-2016-4998 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核.NFSv4 implementation是其中的一个分布式文件系统协议. Linux kernel 4.6之前版本的netfilter子系统中的IPT_SO_SET_REPLACE setsockopt实现过程中存在安全漏洞.本地攻击者可借助提供偏移值的in-container root访问权限利用该漏洞造成拒绝服务(内存损坏),或获取内核堆内存中的敏感信息. CVE-2016-5009 Red Hat Ceph是美国红帽(Red Hat)公司的一套Linux PB级分布式文件系统.该系统的主要目标是设计成基于POSIX(可移植操作系统接口)的没有单点故障的分布式文件系统,使数据能容错和无缝的复制. Ceph中的mon/Monitor.cc文件中的‘handle_command’函数存在安全漏洞.远程攻击者可通过发送空的或特制的‘prefix’值利用该漏洞造成拒绝服务(段错误和ceph监视器崩溃). CVE-2016-5100 Froxlor是Froxlor团队开发的一个网页版本的服务器后台控制面板,它支持Apache、Lighttpd和Nginx等多种服务器. Froxlor 0.9.35之前的版本中存在安全漏洞,该漏洞源于程序使用‘PHP rand’函数生成随机数.远程攻击者可利用该漏洞猜出密码重置令牌. CVE-2016-5746 libstorage是一个用于管理Linux存储设备的C++库.libstorage-ng是一套用于评估boost图片库使用情况的工具.yast-storage是一个用于libstorage后台的存储库. libstorage、libstorage-ng和yast-storage中存在安全漏洞,该漏洞源于磁盘上的临时文件中的加密存储设备,没有正确存储密码口令句.本地攻击者可通过读取文件利用该漏洞获取敏感信息. CVE-2016-5759 Novell SuSE Linux Enterprise Server是美国Novell公司的一套企业服务器版Linux操作系统.Linux Enterprise Desktop是一套桌面版Linux系统 Novell SUSE Linux Enterprise Server 12-SP1版本和Linux Enterprise Desktop 12-SP1版本中存在安全漏洞.攻击者可利用该漏洞以root权限执行代码. CVE-2016-7427 NTP(Network Time Protocol,网络时间协议)是一种以数据包交换把两台电脑的时钟同步化的网络协议.ntpd是其中的一个操作系统守护进程,它使用网络时间协议(NTP)与时间服务器的系统时间保持同步. NTP 4.2.8p9之前的版本中的ntpd的broadcast mode replay prevention功能存在安全漏洞.远程攻击者可借助特制的广播模式数据包利用该漏洞造成拒绝服务(拒绝广播模式数据包). CVE-2016-7942 X.Org libX11是X.Org基金会运作的一个X11(X Window系统)客户端库. X.Org libX11存在安全漏洞.攻击者可利用该漏洞造成拒绝服务(越边界内存读取或写入). CVE-2016-8602 Artifex Software Ghostscript是美国Artifex Software公司的一款开源的PostScript(一种用于电子产业和桌面出版领域的页面描述语言和编程语言)解析器,它可显示Postscript文件以及在非Postscript打印机上打印Postscript文件. Artifex Software Ghostscript 9.21之前的版本中的psi/zht2.c文件的‘.sethalftone5’函数存在安全漏洞.远程攻击者可通过特制的Postscript文档利用该漏洞造成拒绝服务(应用程序崩溃),或可能执行任意代码. CVE-2016-9401 Bash是美国软件开发者布莱恩-福克斯(Brian J. Fox)为GNU计划而编写的一个Shell(命令语言解释器),它运行于类Unix操作系统中(Linux系统的默认Shell),并能够从标准输入设备或文件中读取、执行命令,同时也结合了一部分ksh和csh的特点. Bash中的popd存在安全漏洞.本地攻击者可借助特制的地址利用该漏洞绕过受限的shell,造成拒绝服务. CVE-2016-9806 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核.NFSv4 implementation是其中的一个分布式文件系统协议. Linux kernel 4.6.2及之前的版本中的net/netlink/af_netlink.c文件的‘netlink_dump’函数存在竞争条件漏洞.本地攻击者可借助特制的应用程序利用该漏洞造成拒绝服务(双重释放). CVE-2017-10988 远程主机缺少华为EulerOS的更新 “freeradius”一揽子(s)通过EulerOS-SA-2021-1784公告宣布. CVE-2017-11527 ImageMagick是美国ImageMagick Studio公司的一套开源的图象处理软件.该软件可读取、转换、写入多种格式的图片. ImageMagick 6.9.9-0之前的版本和7.0.6-1之前的7.x版本中的coders/dpx.c文件的‘ReadDPXImage’函数存在安全漏洞.远程攻击者可借助特制的文件利用该漏洞造成拒绝服务(内存消耗). CVE-2017-14970 Open vSwitch(OvS)是一款以开源技术作为基础(遵循Apache2.0许可)的多层虚拟交换机产品,它通过编程扩展支持大规模网络自动化,标准的管理接口和协议等. OvS 2.8.1之前的版本中的lib/ofp-util.c文件存在安全漏洞.远程攻击者可利用该漏洞造成拒绝服务. CVE-2017-15638 SUSE Linux Enterprise(SLE)Desktop等都是美国SUSE公司的产品.SUSE Linux Enterprise(SLE)Desktop是一套企业级Linux桌面版系统.SLE Server是一套服务器版Linux系统.SuSEfirewall2 package是其中的一个具有网络数据过滤功能的包. 多款SUSE产品中的SuSEfirewall2包存在安全漏洞.远程攻击者可利用该漏洞绕过端口映射服务的访问限制.以下产品和版本受到影响:SUSE Linux Enterprise (SLE) Desktop 12 SP2版本(SuSEfirewall2包3.6.312-2.13.1之前的版本);SLE Server 12 SP2版本(SuSEfirewall2包3.6.312-2.13.1之前的版本);SLE Server for Raspberry Pi 12 SP2版本(SuSEfirewall2包3.6.312-2.13.1之前的版本);SLE Desktop 12 SP3版本(SuSEfirewall2包3.6.312.333-3.10.1之前的版本);SLE Server 12 SP3(SuSEfirewall2包3.6.312.333-3.10.1之前的版本);SLE Server 11 SP4(SuSEfirewall2包3.6_SVNr208-2.18.3.1之前的版本);openSUSE Leap 42.2(SuSEfirewall2包3.6.312-5.9.1之前的版本);openSUSE Leap 42.3(SuSEfirewall2包3.6.312.333-7.1之前的版本). CVE-2017-15649 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核. Linux kernel 4.13.6之前的版本中的net/packet/af_packet.c文件存在安全漏洞.本地攻击者可借助特制的系统调用利用该漏洞获取权限(释放后重用). CVE-2017-15868 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核. Linux kernel 3.19之前的版本中的net/bluetooth/bnep/core.c文件的‘bnep_add_connection’函数存在安全漏洞,该漏洞源于程序没有确保l2cap套字节可用.本地攻击者可借助特制的应用程序利用该漏洞获取权限. CVE-2017-16939 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核. Linux kernel 4.13.11之前版本中XFRM转储策略的实现存在资源管理错误漏洞.该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当. CVE-2017-18078 systemd是德国软件开发者Lennart Poettering和其他人共同研发的一款基于Linux的系统和服务管理器,它兼容了SysV和LSB的启动脚本,且提供了一个用来表示系统服务间依赖关系的框架. systemd 237之前版本中的systemd-tmpfiles存在安全漏洞,该漏洞源于fs.protected_hardlinks sysctl在关闭之后,程序仍可更改硬链接文件的所有权/权限.本地攻击者可利用该漏洞绕过访问限制. CVE-2017-18199 GNU libcdio是一个光盘输入和控制库,其中包含了用于访问CD-ROM和CD镜像的函数库. GNU libcdio 1.0.0之前版本中的rock.c文件的‘realloc_symlink’函数存在安全漏洞.远程攻击者可借助特制的iso文件利用该漏洞造成拒绝服务(空指针逆向引用). CVE-2017-2518 Apple iOS等都是美国苹果(Apple)公司的产品.Apple iOS是为移动设备所开发的一套操作系统;tvOS是一套智能电视操作系统.SQLite是其中的一套由美国软件开发者D.Richard Hipp所研发的基于C语言的开源嵌入式关系数据库管理组件. 多款Apple产品中的SQLite组件存在缓冲区溢出漏洞.远程攻击者可借助特制的SQL语句利用该漏洞执行任意代码或造成拒绝服务(缓冲区溢出和应用程序崩溃).以下产品和版本受到影响:Apple iOS 10.3.2之前的版本;macOS Sierra 10.12.5之前的版本;tvOS 10.2.1之前的版本;watchOS 3.2.2之前的版本. CVE-2017-5225 Silicon Graphics LibTIFF是美国Silicon Graphics公司的一个读写TIFF(标签图像文件格式)文件的库.该库包含一些处理TIFF文件的命令行工具. Silicon Graphics LibTIFF 4.0.7版本中的tools/tiffcp.c文件存在堆缓冲区溢出漏洞.攻击者可借助特制的‘BitsPerSample’值利用该漏洞造成拒绝服务或执行代码. CVE-2017-5526 QEMU(又名Quick Emulator)是法国程序员法布里斯-贝拉(Fabrice Bellard)所研发的一套模拟处理器软件.该软件具有速度快、跨平台等特点. QEMU中的hw/audio/es1370.c文件存在内存泄露漏洞.本地攻击者可利用该漏洞造成拒绝服务(主机内存消耗和QEMU进程崩溃). CVE-2017-5970 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核.NFSv4 implementation是其中的一个分布式文件系统协议. Linux kernel 4.9.9及之前的版本中的net/ipv4/ip_sockglue.c文件的‘ipv4_pktinfo_prepare’函数存在安全漏洞.攻击者可利用该漏洞造成拒绝服务(系统崩溃). CVE-2017-7562 MIT krb5(又名MIT Kerberos 5)是美国麻省理工(Massachusetts Institute of Technology)学院的一套网络认证协议,它采用客户端/服务器结构,并且客户端和服务器端均可对对方进行身份认证(即双重验证),可防止窃听、防止replay攻击等. MIT krb5中certauth界面(1.16.1之前版本)验证客户端证书的方法存在授权问题漏洞.远程攻击者可利用该漏洞获取未授权的访问权限或绕过安全限制. CVE-2017-8288 gnome-shell是GNOME项目组所研发的一套GNOME桌面环境的窗口管理程序. gnome-shell 3.22版本至3.24.1版本的js/ui/extensionSystem.js文件中存在安全漏洞,该漏洞源于程序没有正确处理异常.攻击者可利用该漏洞从扩展文件中获取信息或执行任意命令. CVE-2017-8872 Libxml2是GNOME项目组所研发的一个基于C语言的用来解析XML文档的函数库,它支持多种编码格式、Xpath解析、Well-formed和valid验证等. Libxml2 2.9.4版本中的HTMLparser.c文件的‘htmlParseTryOrFinish’函数存在安全漏洞.攻击者可利用该漏洞造成拒绝服务(缓冲区越边界读取)或获取信息. CVE-2018-10195 远程主机缺少'rzsz'的更新 package(s)宣布通过SUSE-SU-2018:1066-1公告. CVE-2018-12472 Micro Focus SUSE Linux是英国Micro Focus公司的一套Linux操作系统.SMT是其中的一个多线程同步处理组件. Micro Focus SUSE Linux 3.0.37之前版本中存在安全漏洞,该漏洞源于在检测主机名称时,程序只检测了‘Host’HTTP包头.远程攻击者可利用该漏洞假冒同级服务器(sibling server). CVE-2018-16839 Haxx curl是瑞典Haxx公司的一套利用URL语法在命令行下工作的文件传输工具.该工具支持文件上传和下载,并包含一个用于程序开发的libcurl(客户端URL传输库). Haxx curl 7.33.0版本至7.61.1版主中的SASL身份验证代码存在缓冲区错误漏洞.该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作.攻击者可利用该漏洞导致缓冲区溢出或堆溢出等. CVE-2018-16889 Red Hat Ceph是美国红帽(Red Hat)公司的一套分布式对象存储和文件系统. Red Hat Ceph v13.2.4之前版本中存在信息泄露漏洞,该漏洞源于程序没有正确地过滤密钥.本地攻击者可利用该漏洞泄露密钥信息. CVE-2018-17294 Liblouis是一款使用C语言编写的开源的盲文翻译器. Liblouis 3.7之前版本中的lou_translateString.c文件的‘matchCurrentInput’函数存在安全漏洞,该漏洞源于程序没有验证输入字符串的长度.攻击者可通过构造输入文件利用该漏洞造成拒绝服务(越界读取和应用程序崩溃). CVE-2018-18386 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核. Linux kernel 4.14.11之前版本中的drivers/tty/n_tty.c文件存在安全漏洞.本地攻击者可利用该漏洞挂起伪终端设备或限制进一步使用伪终端设备. CVE-2018-19942 QNAP Systems TS-870是中国威联通(QNAP Systems)公司的一款NAS(网络附属存储)设备. 使用4.3.4.0486版本固件的QNAP Systems TS-870中的文件管理器存在安全漏洞.攻击者可利用该漏洞执行恶意的JavaScript代码. CVE-2018-20225 Pip是一套用于安装和管理Python软件包的工具. Pip(所有版本)中的--extra-index-url选项存在输入验证错误漏洞.攻击者可借助特制请求利用该漏洞在系统上执行任意代码. CVE-2018-5748 Red Hat libvirt是美国红帽(Red Hat)公司的一个用于实现Linux虚拟化功能的Linux API,它支持各种Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系统的一些虚拟产品. Red Hat libvirt中的qemu/qemu_monitor.c文件存在安全漏洞.攻击者可利用该漏洞造成拒绝服务. CVE-2018-5848 Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统. Android中的Qualcomm WIGIG存在缓冲区错误漏洞.攻击者可利用该漏洞执行任意代码或造成拒绝服务. CVE-2018-7566 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核. Linux kernel 4.15版本中存在缓冲区错误漏洞.该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作.攻击者可利用该漏洞导致缓冲区溢出或堆溢出等. CVE-2018-7728 Exempi是一个基于Adobe XMP SDK的XMP的开源实现. Exempi 2.4.4及之前版本中的third-party/zuid/interfaces/MD5.cpp文件的‘MD5Update()’函数存在基于堆的缓冲区越边界读取漏洞,该漏洞源于XMPFiles/source/FileHandlers/TIFF_Handler.cpp文件没有正确的处理长度为0的情况.攻击者可借助特制的文件利用该漏洞造成拒绝服务(崩溃). CVE-2018-9568 Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统. Android中的network组件存在提权漏洞.目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告. CVE-2019-10092 Apache httpd是美国阿帕奇(Apache)软件基金会的一款专为现代操作系统开发和维护的开源HTTP服务器. Apache httpd中的mod_proxy错误页面存在跨站脚本漏洞.该漏洞源于WEB应用缺少对客户端数据的正确验证.攻击者可利用该漏洞执行客户端代码.以下产品及版本受到影响:Apache httpd 2.4.39版本,2.4.38版本,2.4.37版本,2.4.35版本,2.4.34版本,2.4.33版本,2.4.30版本,2.4.29版本,2.4.28版本,2.4.27版本,2.4.26版本,2.4.25版本,2.4.23版本,2.4.20版本,2.4.18版本,2.4.17版本,2.4.16版本,2.4.12版本,2.4.10版本,2.4.9版本,2.4.7版本,2.4.6版本,2.4.4版本,2.4.3版本,2.4.2版本,2.4.1版本,2.4.0版本. CVE-2019-10181 icedtea-web是一款JSR-56(Java网络启动协议和API)的开源实现. icedtea-web 1.7.2及之前版本和1.8.2及之前版本中存在数据伪造问题漏洞.该漏洞源于网络系统或产品未充分验证数据的来源或真实性.攻击者可利用伪造的数据进行攻击. CVE-2019-10218 Samba是Samba团队的一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件.该软件支持共享打印机、互相传输资料文件等. Samba 4.11.2之前版本、4.10.10之前版本和4.9.15之前版本中存在安全漏洞.该漏洞源于Samba客户端脚本代码没有正确处理路径分隔符.远程攻击者可利用该漏洞造成该客户端访问本地路径名,而不是网络路径名. CVE-2019-11478 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核. Linux kernel中网络子系统处理TCP Selective Acknowledgment片段的方法存在资源管理错误漏洞.该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当.攻击者可利用该漏洞造成拒绝服务(消耗大量资源). CVE-2019-12522 Squid是一套代理服务器和Web缓存服务器软件.该软件提供缓存万维网、过滤流量、代理上网等功能. Squid 4.7及之前版本中存在安全漏洞.攻击者可利用该漏洞将权限提升至root. CVE-2019-14584 Tianocore Edk2是Tianocore社区的一个遵循UEFI和PI规范的跨平台固件开发环境. Tianocore Edk2 种存在安全漏洞,以下产品及版本受到影响:Red Hat Enterprise Linux 7,Red Hat Enterprise Linux 8,Ubuntu 21.04 (Hirsute Hippo),Ubuntu 20.10 (Groovy Gorilla),Ubuntu 20.04 LTS (Focal Fossa),Ubuntu 18.04 LTS (Bionic Beaver),Ubuntu 16.04 LTS (Xenial Xerus),Ubuntu 14.04 ESM (Trusty Tahr)Ubuntu 12.04 ESM (Precise Pangolin),SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP2,SUSE Linux Enterprise Module for Server Applications 15 SP1,SUSE Linux Enterprise Module for Server Applications 15 SP2,SUSE Linux Enterprise Module for Server Applications 15 SP2 CVE-2019-14907 Samba是Samba团队的一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件.该软件支持共享打印机、互相传输资料文件等. Samba 4.9.18之前的4.9.x版本、4.10.12之前的4.10.x版本和4.11.5之前的4.11.x版本中存在缓冲区错误漏洞.攻击者可通过发送特制的字符串利用该漏洞导致长期存在的进程终止. CVE-2019-18348 Python是Python软件基金会的一套开源的、面向对象的程序设计语言.该语言具有可扩展、支持模块和包、支持多种平台等特点.urllib是其中的一个用于处理URL的模块.urllib2是其中的一个用于获取URL(统一资源定位符)的模块. Python 2.x版本至2.7.17版本中的urllib2和Python 3.x版本至3.8.0版本中的urllib存在注入漏洞.该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误. CVE-2019-18802 Envoy是一款开源的分布式代理服务器. Envoy 1.12.0版本中存在缓冲区错误漏洞.攻击者可利用该漏洞绕过路由匹配并在系统上提升权限或获取敏感信息. CVE-2019-20386 systemd是德国Lennart Poettering软件开发者的一款基于Linux的系统和服务管理器.该产品兼容了SysV和LSB的启动脚本,且提供了一个用来表示系统服务间依赖关系的框架. systemd 243之前版本中的login/logind-button.c文件的button_open存在安全漏洞.攻击者可利用该漏洞造成内存泄漏. CVE-2019-20433 GNU Aspell是一款拼写检查工具. GNU Aspell 0.60.8之前版本中的libaspell.a文件存在缓冲区错误漏洞.本地攻击者可借助末尾为‘\0’的字符串利用该漏洞获取敏感信息. CVE-2020-0551 Intel Core i5 processor和Intel Core i7 processor都是美国英特尔(Intel)公司的产品.Intel Core i5 processor是一款酷睿(Core)i5系列中央处理器(CPU).Intel Core i7 processor是一款酷睿(Core)i7系列中央处理器(CPU). 多款Intel产品中预测执行技术的使用存在安全漏洞.本地攻击者可利用该漏洞获取信息.以下产品及版本受到影响:Intel Core Processor i7-10510Y,Core Processor i5-10310Y;Core Processor i5-10210Y;Core Processor i5-10110Y;Core Processor i7-8500Y;Core Processor i5-8310Y;Core Processor i5-8210Y;Core Processor i5-8200Y等. CVE-2020-10703 Red Hat libvirt是美国红帽(Red Hat)公司的一个用于实现Linux虚拟化功能的Linux API,它支持各种Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系统的一些虚拟产品. Red Hat libvirt 6.0.0之前的3.10.0版本中存在代码问题漏洞.攻击者可利用该漏洞造成libvirt守护进程崩溃,导致拒绝服务. CVE-2020-12460 OpenDMARC是The Trusted Domain项目的一款DMARC(基于域的消息认证、报告和一致性)规范的开源实现. OpenDMARC 1.3.2及之前版本和1.4.x版本至1.4.0-Beta1版本中的‘opendmarc_xml_parse’函数存在安全漏洞.远程攻击者可利用该漏洞导致内存损坏. CVE-2020-13700 WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台.该平台支持在PHP和MySQL的服务器上架设个人博客网站. WordPress acf-to-rest-api 3.1.0及之前版本中存在安全漏洞.攻击者可利用该漏洞读取wp_options表中的敏感信息. CVE-2020-14959 WordPress是WordPress基金会的一套使用PHP语言开发的博客平台.该平台支持在PHP和MySQL的服务器上架设个人博客网站.Easy Testimonials是使用在其中的一个侧边栏推荐按钮插件. WordPress Easy Testimonials 3.6之前版本中存在跨站脚本漏洞.远程攻击者可借助wp-admin/post.php文件中的‘Client Name’,‘Position’,‘Web Address’,‘Other’,‘Location Reviewed’,‘Product Reviewed’,‘Item Reviewed’或‘Rating’参数利用该漏洞注入任意Web脚本或HTML. CVE-2020-15078 Openvpn OpenVPN是美国OpenVPN(Openvpn)公司的一个用于创建虚拟专用网络(VPN)加密通道的软件包,它使用OpenSSL库来加密数据与控制信息,并允许创建的VPN使用公开密钥、电子证书或者用户名/密码来进行身份验证. OpenVPN 2.5.1版本及之前版本存在安全漏洞,该漏洞允许远程攻击者可利用该漏洞绕过配置了延迟认证的服务器上的认证和访问控制通道数据. CVE-2020-16121 PackageKit是一个适用于Linux系统的新的包管理器. PackageKit 中存在安全漏洞. CVE-2020-17438 Contiki是一套用于IoT(物联网)设备的开源跨平台操作系统.Contiki-NG是一套用于下一代IoT(物联网)设备的开源跨平台操作系统.TCP(Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义. uIP 存在缓冲区错误漏洞,该漏洞源于无法验证其IP报头中指定的传入数据包的总长度以及IP报头中指定的分段偏移值.这可能导致内存损坏. CVE-2020-25626 Django是Django基金会的一套基于Python语言的开源Web应用框架.该框架包括面向对象的映射器、视图系统、模板系统等. Django 中存在跨站脚本漏洞.该漏洞源于WEB应用缺少对客户端数据的正确验证.攻击者可利用该漏洞执行客户端代码. CVE-2020-25645 Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核. Linux内核 5.9-rc7之前版本存在安全漏洞,该漏洞源于当IPsec被配置为加密由Geneve隧道使用的特定UDP端口的流量时,两个Geneve端点之间的流量可能是未加密的,允许这两个端点之间的任何人读取未加密的流量.这个漏洞的主要威胁是数据的机密性. CVE-2020-26682 libass是个人开发者的一个基于 ASS/SSA 格式的字幕渲染器. libass 0.14.0版本存在安全漏洞,该漏洞源于 ass_outline_construct 对 outline stroke 的调用导致有符号整数溢出. CVE-2020-26797 MediaArea MediaInfo是一款能够显示视频、音频文件相关技术信息的应用程序. Mediainfo before version 20.08 存在缓冲区错误漏洞,该漏洞源于MediaInfoLib::File_Gxf::ChooseParser_ChannelGrouping有一个堆缓冲区溢出漏洞. CVE-2020-27225 Eclipse Platform是 (Eclipse)开源的定义了一组框架和公共服务,共同构成了支持将Eclipse作为组件模型, 富客户端平台 (RCP)和全面的工具集成平台的使用所需的基础结构.用于管理资源的项目模型,用于增量编译器和构建器的自动资源增量管理,与语言无关的调试基础结构以及用于分布式多用户版本化资源管理的基础结构. Eclipse Platform versions 4.18 and earlier 存在安全漏洞,该漏洞允许未经身份验证的本地攻击者向相关的Eclipse平台进程或Eclipse富客户端平台进程发出活动帮助命令. CVE-2020-27827 lldpd是一款能够接收和发送LLDP帧的守护程序. Ubuntu lldp 软件中存在资源管理错误漏洞,攻击者可利用该漏洞触发拒绝服务攻击.以下产品及型号受到影响:Ubuntu 20.10 openvswitch-common,Ubuntu 20.04 LTS openvswitch-common Ubuntu 18.04 LTS openvswitch-common, Ubuntu 16.04 LTS: openvswitch-common CVE-2020-35458 Clusterlabs Crmsh是ClusterLabs(Clusterlabs)团队的一个适用于GNU/Linux系统用于高可用性集群管理的命令行软件. ClusterLabs Hawk 2.x到2.3.0-x 存在代码注入漏洞,该漏洞源于login_from_cookie cookie 中的 hawk_remember_me_id中存在一个Ruby 代码注入,未校验的攻击者可通过用户退出登录过程中引起代码执行. CVE-2020-35678 Python是Python基金会的一套开源的、面向对象的程序设计语言.该语言具有可扩展、支持模块和包、支持多种平台等特点. Python 20.12.3之前版本存在输入验证错误漏洞,该漏洞允许重定向头注入. CVE-2020-36176 WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台.该平台支持在PHP和MySQL的服务器上架设个人博客网站. Wordpress Ithemes Security Plugin 7.7.0 之前版本存在安全漏洞,该漏洞源于不会强制对现有帐户设置新密码,直到第二次登录. CVE-2020-36195 Qnap Systems QNAP NAS running Multimedia Console是中国威联通(Qnap Systems)公司的一个应用软件.一个多媒体控制台. QNAP NAS running Multimedia Console 存在安全漏洞,攻击者可利用该漏洞就可以获得应用程序信息. CVE-2020-36314 GNOME file-roller是一款使用在GNOME桌面中的压缩文件管理器. GNOME file-roller 3.38.0版本及之前版本存在路径遍历漏洞,该漏洞源于在提取过程中允许目录遍历. CVE-2020-36326 PHPMailer是一个用于发送电子邮件的PHP类库. PHPMailer 6.1.8版本及之前版本6.4.0 存在代码问题漏洞,该漏洞允许通过具有UNC路径名的addAttachment通过Phar反序列化进行对象注入. CVE-2020-8013 SUSE Linux Enterprise Server是德国SUSE公司的一套企业服务器版Linux操作系统. SUSE Linux Enterprise Server中的permissions存在后置链接漏洞.该漏洞源于网络系统或产品未正确过滤表示非预期资源的链接或者快捷方式的文件名.攻击者可利用该漏洞访问非法的文件路径.以下产品及版本受到影响:SUSE Linux Enterprise Server 12版本(permissions 2015.09.28.1626-17.27.1之前版本),SUSE Linux Enterprise Server 15版本(permissions 20181116-9.23.1之前版本),SUSE Linux Enterprise Server 11版本(permissions 2013.1.7-0.6.12.1之前版本). CVE-2020-8284 HAXX Haxx curl是瑞典Haxx(HAXX)公司的一套利用URL语法在命令行下工作的文件传输工具.该工具支持文件上传和下载,并包含一个用于程序开发的libcurl(客户端URL传输库). Haxx curl FTP PASV Responses 存在信息泄露漏洞,攻击者可利用该漏洞通过curl的FTP PASV响应绕过对数据的访问限制,获取敏感信息. CVE-2020-8287 Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台.该平台主要用于构建高度可伸缩的应用程序,以及编写能够处理数万条且同时连接到一个物理机的连接代码. Node.js 存在环境问题漏洞,攻击者可利用该漏洞通过HTTP Request Smuggling绕过访问限制,以读取或更改数据.以下产品及版本受到影响:before 10.23.1, 12.20.1, 14.15.4, 15.5.1 CVE-2021-1405 Clam AntiVirus是ClamAV(Clamav)团队的一款用于检测木马,病毒,恶意软件和其他恶意威胁的开源杀毒引擎. Clam AntiVirus 存在安全漏洞,攻击者可利用该漏洞可以通过ClamAV的邮件解析器强制取消对空指针的引用,从而触发拒绝服务. CVE-2021-20077 Tenable Network Security Nessus是美国Tenable Network Security公司的一款开源的系统漏洞扫描器. Nessus Agent versions 7.2.0 through 8.2.2 存在安全漏洞,攻击者可利用该漏洞获得令牌. CVE-2021-20193 git tar.git是 (git)开源的一个应用程序.用于打包压缩. tar 1.33 and earlier 存在安全漏洞,攻击者可利用该漏洞可以向tar提交精心制作的输入文件,从而导致不受控制的内存消耗. CVE-2021-20208 SUSE Linux Enterprise Server是德国SUSE公司的一套企业服务器版Linux操作系统. SUSE Linux Enterprise Server 存在安全漏洞,攻击者可利用该漏洞可以通过cifs-utils的Kerberos认证泄漏转义绕过限制,从而升级其权限. CVE-2021-20230 Micha?Trojnara Stunnel是 Micha?Trojnara开源的一个应用软件.提供TLS加密功能添加到现有客户端和服务器,而无需更改程序代码. Stunnel 存在信任管理问题漏洞,该漏洞源于使用重定向和verifyChain选项时,客户端证书没有正确验证.以下产品和版本受到影响:stunnel before 5.57 CVE-2021-20254 Samba是Samba团队的一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件.该软件支持共享打印机、互相传输资料文件等. Samba 存在缓冲区错误漏洞,该漏洞源于在将Windows组标识(sid)映射到unix组标识(gid)时存在边界条件,这导致在Samba服务器进程令牌中创建负面的idmap缓存项.以下产品及版本受到影响:Samba: 3.6.0, 3.6.1, 3.6.2, 3.6.3, 3.6.4, 3.6.5, 3.6.6, 3.6.7, 3.6.8, 3.6.9, 3.6.10, 3.6.11, 3.6.12, 3.6.13, 3.6.14, 3.6.15, 3.6.16, 3.6.17, 3.6.18, 3.6.19, 3.6.20, 3.6.21, 3.6.22, 3.6.23, 3.6.24, 3.6.25, 4.0.0, 4.0.1, 4.0.2, 4.0.3, 4.0.4, 4.0.5, 4.0.6, 4.0.7, 4.0.8, 4.0.9, 4.0.10, 4.0.11, 4.0.12, 4.0.13, 4.0.14, 4.0.15, 4.0.16, 4.0.17, 4.0.18, 4.0.19, 4.0.20, 4.0.21, 4.0.22, 4.0.23, 4.0.24, 4.0.25, 4.0.26, 4.1.0, 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9, 4.1.10, 4.1.11, 4.1.12, 4.1.13, 4.1.14, 4.1.15, 4.1.16, 4.1.17, 4.1.18, 4.1.19, 4.1.20, 4.1.21, 4.1.22, 4.1.23, 4.2.0, 4.2.1, 4.2.2, 4.2.3, 4.2.4, 4.2.5, 4.2.6, 4.2.7, 4.2.8, 4.2.9, 4.2.10, 4.2.11, 4.2.12, 4.2.13, 4.2.14, 4.3.0, 4.3.1, 4.3.2, 4.3.3, 4.3.4, 4.3.5, 4.3.6, 4.3.7, 4.3.8, 4.3.9, 4.3.10, 4.3.11, 4.3.12, 4.3.13, 4.4.0, 4.4.0 rc4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, 4.4.5, 4.4.6, 4.4.7, 4.4.8, 4.4.9, 4.4.10, 4.4.11, 4.4.12, 4.4.13, 4.4.14, 4.4.15, 4.4.16, 4.5.0, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 4.5.6, 4.5.7, 4.5.8, 4.5.9, 4.5.10, 4.5.11, 4.5.12, 4.5.13, 4.5.14, 4.5.15, 4.5.16, 4.6.0, 4.6.1, 4.6.2, 4.6.3, 4.6.4, 4.6.5, 4.6.6, 4.6.7, 4.6.8, 4.6.9, 4.6.10, 4.6.11, 4.6.12, 4.6.13, 4.6.14, 4.6.15, 4.6.16, 4.7.0, 4.7.1, 4.7.2, 4.7.3, 4.7.4, 4.7.5, 4.7.6, 4.7.7, 4.7.8, 4.7.9, 4.7.10, 4.7.11, 4.7.12, 4.8.0, 4.8.1, 4.8.2, 4.8.3, 4.8.4, 4.8.5, 4.8.6, 4.8.7, 4.8.8, 4.8.9, 4.8.10, 4.8.11, 4.8.12, 4.9.0, 4.9.1, 4.9.2, 4.9.3, 4.9.4, 4.9.5, 4.9.6, 4.9.7, 4.9.8, 4.9.9, 4.9.10, 4.9.11, 4.9.12, 4.9.13, 4.9.14, 4.9.15, 4.9.16, 4.9.17, 4.9.18, 4.10.0, 4.10.1, 4.10.2, 4.10.3, 4.10.4, 4.10.5, 4.10.6, 4.10.7, 4.10.8, 4.10.9, 4.10.10, 4.10.11, 4.10.12, 4.10.13, 4.10.14, 4.10.15, 4.10.16, 4.10.17, 4.10.18, 4.11.0, 4.11.1, 4.11.2, 4.11.3, 4.11.4, 4.11.5, 4.11.6, 4.11.7, 4.11.8, 4.11.9, 4.11.10, 4.11.11, 4.11.12, 4.11.13, 4.11.14, 4.11.15, 4.11.16, 4.11.17, 4.12.0, 4.12.1, 4.12.2, 4.12.3, 4.12.4, 4.12.5, 4.12.6, 4.12.7, 4.12.8, 4.12.9, 4.12.10, 4.12.11, 4.12.12, 4.12.13, 4.12.14, 4.13.0, 4.13.1, 4.13.2, 4.13.3, 4.13.4, 4.13.5, 4.13.6, 4.13.7, 4.14.0, 4.14.1, 4.14.2, 4.14.3 . CVE-2021-20277 Samba是Samba团队的一套可使UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做连结的自由软件.该软件支持共享打印机、互相传输资料文件等. Samba 存在缓冲区错误漏洞,攻击者可利用该漏洞可以通过AD DC LDAP Server强制读取无效地址,以触发拒绝服务,或获取敏感信息. CVE-2021-20291 Red Hat Ceph Storage是美国红帽(Red Hat)公司的一套可扩展的、开放性的软件定义存储平台. github.com/containers/storage 存在安全漏洞,攻击者可利用该漏洞制造恶意映像,从而导致拒绝服务(DoS). CVE-2021-20297 NetworkManager是一款网络管理守护程序. networkmanager 存在安全漏洞,攻击者可利用该漏洞可以通过某些配置文件触发致命错误,从而触发拒绝服务. CVE-2021-20305 Linux Nettle是Linux 基金会开源的一个应用软件.包含的设计适合很容易在许多情况下一个低级别的密码库. Nettle in versions before 3.7.2 存在加密问题漏洞,该漏洞允许攻击者强制使用无效签名,导致断言失败或可能的验证. CVE-2021-20307 lianhaidong libpano13是lianhaidong开源的一个应用软件.一个pano13库,是Helmut的Panorama工具的一部分. libpano13 2.9.20~rc2+dfsg-3 and earlier 存在格式化字符串错误漏洞,该漏洞导致读写任意内存值. CVE-2021-20326 Mongodb Server是美国Mongodb公司的一套开源的NoSQL数据库.该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能. MongoDB Server v4.4版本至4.4.4版本存在安全漏洞,该漏洞源于授权执行特定类型查找查询的用户可能会触发拒绝服务. CVE-2021-20714 WordPress 插件是WordPress开源的一个应用插件. WordPress 插件 Fastest Cache 存在路径遍历漏洞,该漏洞源于处理目录遍历序列时出现输入验证错误.以下产品及版本受到影响:WP Fastest Cache: 0.8.3.1, 0.8.3.2, 0.8.3.3, 0.8.3.4, 0.8.3.5, 0.8.6.6, 0.8.6.7, 0.8.6.8, 0.8.6.9, 0.8.7.0, 0.8.7.1, 0.8.7.2, 0.8.7.3, 0.8.7.4, 0.8.7.5, 0.8.7.6, 0.8.7.7, 0.8.7.8, 0.8.7.9, 0.8.8.0, 0.8.8.1, 0.8.8.2, 0.8.8.3, 0.8.8.4, 0.8.8.5, 0.8.8.6, 0.8.8.7, 0.8.8.8, 0.8.8.9, 0.8.9.0, 0.8.9.1, 0.8.9.2, 0.8.9.3, 0.8.9.4, 0.8.9.5, 0.8.9.6, 0.8.9.7, 0.8.9.8, 0.8.9.9, 0.9.0.0, 0.9.0.1, 0.9.0.2, 0.9.0.3, 0.9.0.4, 0.9.0.5, 0.9.0.6, 0.9.0.7, 0.9.0.8, 0.9.0.9, 0.9.1.0, 0.9.1.1, 0.9.1.2, 0.9.1.3, 0.9.1.4, 0.9.1.5, 0.9.1.6 . CVE-2021-21100 Adobe Bridge是美国奥多比(Adobe)公司的一款文件查看器. Adobe Bridge存在安全漏洞,该漏洞允许远程攻击者获得系统上更高的特权. CVE-2021-21295 Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等. Netty 存在安全漏洞,该漏洞源于请求以HTTP 2流的形式传入,则被转换为HTTP 1.1对象. CVE-2021-21375 Sauwming pjproject是 Sauwming开源的一个应用软件.将信令协议(SIP)与丰富的多媒体框架和NAT遍历功能结合在一起,成为可移植的高级API,适用于从台式机,嵌入式系统到手机等几乎所有类型的系统. pjproject version 2.10 and earlier 存在安全漏洞,攻击者可利用该漏洞导致拒绝服务. CVE-2021-2144 Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库. MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的Server: Parser组件内部输入验证不正确.以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19 . CVE-2021-2154 Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库. MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器中的服务器:DML组件输入验证不正确.以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 5.7.31, 5.7.32, 5.7.33 . CVE-2021-2160 Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库. MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“服务器优化器”组件的输入验证不正确.以下产品及版本受到影响:MySQL Server: 5.7.0, 5.7.1, 5.7.2, 5.7.3, 5.7.4, 5.7.5, 5.7.6, 5.7.7, 5.7.8, 5.7.9, 5.7.10, 5.7.11, 5.7.12, 5.7.13, 5.7.14, 5.7.15, 5.7.16, 5.7.17, 5.7.18, 5.7.19, 5.7.20, 5.7.21, 5.7.22, 5.7.23, 5.7.24, 5.7.25, 5.7.26, 5.7.27, 5.7.28, 5.7.29, 5.7.30, 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17 . CVE-2021-2161 Oracle Java SE Embedded是美国甲骨文(Oracle)公司的一款针对嵌入式系统的、可移植的应用程序的Java平台. Java SE Embedded: 8u281 存在输入验证错误漏洞,该漏洞源于Oracle GraalVM Enterprise Edition中的Libraries组件的输入验证不正确. CVE-2021-2163 Oracle Java SE Embedded是美国甲骨文(Oracle)公司的一款针对嵌入式系统的、可移植的应用程序的Java平台. Java SE Embedded 8u281 存在输入验证错误漏洞,该漏洞源于Oracle GraalVM Enterprise Edition中的Libraries组件的输入验证不正确. CVE-2021-2213 Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库. MySQL Server 存在输入验证错误漏洞,该漏洞源于MySQL服务器的“服务器优化器”组件的输入验证不正确.以下产品及版本受到影响:MySQL Server: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.0.11, 8.0.12, 8.0.13, 8.0.14, 8.0.15, 8.0.16, 8.0.17, 8.0.18, 8.0.19, 8.0.20, 8.0.21, 8.0.22 . CVE-2021-22204 exiftool是一个应用软件.使元数据更易于访问. ExifTool versions 7.44版本及之前版本存在注入漏洞,该漏洞允许在解析恶意图像时任意执行代码. CVE-2021-22879 Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台. Nextcloud Desktop client 存在安全漏洞,该漏洞源于对通过URL传递的用户提供的输入验证不足.远程攻击者可利用该漏洞破坏受影响的系统. CVE-2021-22884 Nodejs Core是OpenJS(Openjs)基金会的一个编译到Nodejs中的核心模块.该模块为Nodejs提供底层的TCP,HTTP,DNS,文件系统,子进程等功能支持. Node Core 存在安全漏洞,攻击者可利用该漏洞可以通过DNS重新绑定节点核心的Localhost6,利用漏洞来运行代码.以下产品和版本受到影响:Node.js before 10.24.0, 12.21.0, 14.16.0, and 15.10.0 CVE-2021-24217 WordPress 插件是WordPress开源的一个应用插件. WordPress 插件 Facebook for WordPress插件 3.0.0版本之前存在安全漏洞,该漏洞源于插件的run_action函数反序列化用户提供的数据,从而有可能提供PHP对象,从而创建对象注入漏洞. CVE-2021-24218 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台.该平台支持在PHP和MySQL的服务器上架设个人博客网站.WordPress 插件是WordPress开源的一个应用插件. Facebook WordPress插件 3.0.4版本之前存在跨站请求伪造漏洞,该漏洞源于Facebook WordPress插件的ajax操作由于缺乏nonce保护而容易受到CSRF的攻击. CVE-2021-24241 WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台.该平台支持在PHP和MySQL的服务器上架设个人博客网站. WordPress plugin Advanced Custom Fields Pro 5.9.1 之前版本存在跨站脚本漏洞,该漏洞源于没有正确地转义生成的更新URL,导致在更新设置页面反映跨站点脚本问题. CVE-2021-25214 ISC BIND是美国ISC公司的一套实现了DNS协议的开源软件. ISC BIND 存在安全漏洞,该漏洞导致接收已命名服务器无意中从区域数据库中删除有问题的区域的SOA记录. CVE-2021-25215 ISC BIND是美国ISC公司的一套实现了DNS协议的开源软件. BIND 存在安全漏洞,该漏洞源于回答DNAME的查询时,断言检查可能会失败 需要处理DNAME才能解决的记录. CVE-2021-25216 ISC BIND是美国ISC公司的一套实现了DNS协议的开源软件. BIND 存在缓冲区错误漏洞,该漏洞源于BIND的GSSAPI安全策略. CVE-2021-25316 Fabrice Fontaine s390-tools 是 (Fabrice Fontaine)开源的一个应用软件.提供s390 Linux内核和设备驱动程序一起使用的用户空间实用程序的源树. s390-tools 存在安全漏洞,攻击者可利用该漏洞可以创建一个符号链接,以改变指向的文件. CVE-2021-26720 Avahi是一套用于Linux的本地服务发现工具. Debian avahi 中存在后置链接漏洞,该漏洞并允许本地攻击者通过对/run/avahi-daemon下的文件进行符号链接攻击来造成拒绝服务或创建任意空文件. CVE-2021-26813 python-markdown2是一款基于Python的Markdown文本标记格式的实现. python-markdown2 >=1.0.1.18 存在安全漏洞,该漏洞源于受正则表达式拒绝服务. CVE-2021-27379 Xen是英国剑桥(Cambridge)大学的一款开源的虚拟机监视器产品.该产品能够使不同和不兼容的操作系统运行在同一台计算机上,并支持在运行时进行迁移,保证正常运行并且避免宕机. Xen 中存在安全漏洞.该漏洞源于允许x86 Intel HVM来宾操作系统用户实现非预期的读/写DMA访问,并可能导致拒绝服务(主机操作系统崩溃)或获得权限.以下产品及版本受到影响:Xen 4.11.x 版本. CVE-2021-27918 Zhangfannie go是 Zhangfannie开源的一个应用软件.提供一种开放源代码编程语言,可轻松构建简单,可靠和高效的软件. Go before 1.15.9 and 1.16.x before 1.16.1 存在安全漏洞,该漏洞源于TokenReader返回元素中间的EOF,会有一个无限循环. CVE-2021-28242 b2evolution是一套基于PHP和MySQL的社区内容管理系统. b2evolution v7.2.2-stable 存在命令注入漏洞,该漏洞允许远程攻击者可利用该漏洞在“Collections”选项卡下创建新的过滤器时,通过将SQL命令注入“cf name”参数来获取敏感的数据库信息. CVE-2021-28280 Phpfusion是英国Phpfusion公司的一个轻量级内容管理系统. PHPFusion 9.03.110 存在安全漏洞,该漏洞允许远程攻击者可利用该漏洞注入任意web脚本或HTML. CVE-2021-28374 Debian courier-authlib是 (Debian)开源的一个应用软件.为其他Courier应用程序提供身份验证服务. Debian courier-authlib package before 0.71.1-2 存在配置错误漏洞,该漏洞源于在某些配置中可能包含明文密码. CVE-2021-28421 jjceresa fluidsynth是jjceresa开源的一个应用程序.通过使用SoundFont通过读取和处理MIDI输入设备中的MIDI事件来生成音频. FluidSynth 2.1.7 存在资源管理错误漏洞,攻击者可利用该漏洞导致任意代码执行或拒绝服务(DoS). CVE-2021-28449 Microsoft Office和Microsoft Excel都是美国微软(Microsoft)公司的产品.Microsoft Office是一款办公软件套件产品.该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等.Microsoft Excel是一款Office套件中的电子表格处理软件. Microsoft Office 远程执行代码漏洞.以下产品和版本受到影响:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Excel 2016 (32-bit edition),Microsoft Excel 2016 (64-bit edition),Microsoft Office 2016 (32-bit edition),Microsoft Office 2016 (64-bit edition),Microsoft Excel 2010 Service Pack 2 (32-bit editions),Microsoft Excel 2010 Service Pack 2 (64-bit editions),Microsoft Excel 2013 RT Service Pack 1,Microsoft Excel 2013 Service Pack 1 (32-bit editions),Microsoft Excel 2013 Service Pack 1 (64-bit editions),Microsoft Office 2010 Service Pack 2 (32-bit editions),Microsoft Office 2010 Service Pack 2 (64-bit editions),Microsoft Office 2013 RT Service Pack 1,Microsoft Office 2013 Service Pack 1 (32-bit editions),Microsoft Office 2013 Service Pack 1 (64-bit editions). CVE-2021-28452 Microsoft Office和Microsoft Outlook都是美国微软(Microsoft)公司的产品.Microsoft Office是一款办公软件套件产品.该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等.Microsoft Outlook是一套电子邮件应用程序. Microsoft Outlook 内存损坏漏洞.以下产品和版本受到影响:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Outlook 2016 (32-bit edition),Microsoft Outlook 2016 (64-bit edition),Microsoft Outlook 2013 Service Pack 1 (32-bit editions),Microsoft Outlook 2013 Service Pack 1 (64-bit editions),Microsoft Outlook 2010 Service Pack 2 (32-bit editions),Microsoft Outlook 2010 Service Pack 2 (64-bit editions),Microsoft Outlook 2013 RT Service Pack 1. CVE-2021-28453 Microsoft Word是美国微软(Microsoft)公司的一套Office套件中的文字处理软件. Microsoft Word 存在代码注入漏洞.以下产品和版本受到影响:Microsoft Word 2016 (32-bit edition),Microsoft Word 2016 (64-bit edition),Microsoft Office 2010 Service Pack 2 (32-bit editions),Microsoft Office 2010 Service Pack 2 (64-bit editions),Microsoft Office Web Apps 2010 Service Pack 2,Microsoft Office Web Apps Server 2013 Service Pack 1,Microsoft SharePoint Server 2010 Service Pack 2,Microsoft Word 2010 Service Pack 2 (32-bit editions),Microsoft Word 2010 Service Pack 2 (64-bit editions),Microsoft Word 2013 RT Service Pack 1,Microsoft Word 2013 Service Pack 1 (32-bit editions),Microsoft Word 2013 Service Pack 1 (64-bit editions),Microsoft SharePoint Enterprise Server 2016,Microsoft SharePoint Enterprise Server 2013 Service Pack 1,Microsoft SharePoint Server 2019,Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft Office 2019 for Mac,Microsoft Office Online Server,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems. CVE-2021-28454 Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件. Microsoft Excel 存在资源管理错误漏洞.以下产品和版本受到影响:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft Office Online Server,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Excel 2016 (32-bit edition),Microsoft Excel 2016 (64-bit edition),Microsoft Office 2016 (32-bit edition),Microsoft Office 2016 (64-bit edition),Microsoft Excel 2010 Service Pack 2 (32-bit editions),Microsoft Excel 2010 Service Pack 2 (64-bit editions),Microsoft Excel 2013 RT Service Pack 1,Microsoft Excel 2013 Service Pack 1 (32-bit editions),Microsoft Excel 2013 Service Pack 1 (64-bit editions),Microsoft Office 2010 Service Pack 2 (32-bit editions),Microsoft Office 2010 Service Pack 2 (64-bit editions),Microsoft Office 2013 RT Service Pack 1,Microsoft Office 2013 Service Pack 1 (32-bit editions),Microsoft Office 2013 Service Pack 1 (64-bit editions),Microsoft Office Web Apps Server 2013 Service Pack 1. CVE-2021-28657 Apache Tika是美国阿帕奇(Apache)基金会的一个集成了POI(使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库)、Pdfbox(读取和创建PDF文档的纯Java类库)并为文本抽取工作提供了统一界面的内容抽取工具集合. tika-parsers 存在安全漏洞,该漏洞源于MP3Parser中的无限循环. CVE-2021-28658 Django是Django基金会的一套基于Python语言的开源Web应用框架.该框架包括面向对象的映射器、视图系统、模板系统等. Django 2.2至2.2.20, 3.0至3.0.14, 3.1至3.1.8 存在路径遍历漏洞,该漏洞允许通过上传的具有合适文件名的文件来遍历目录. CVE-2021-28899 LIVE555 Streaming Media是美国LIVE555公司的一个应用软件.一个基于标准的RTP/RTCP/RTSP/SIP多媒体流的源代码库,适用于嵌入式和/或低成本流应用. LIVE555 Streaming Media 2021.3.16之前版本存在安全漏洞,该漏洞源于AC3AudioFileServerMediaSubsession, ADTSAudioFileServerMediaSubsession, and AMRAudioFileServerMediaSubsessionLive OnDemandServerMediaSubsession subclasses. CVE-2021-28963 Shibboleth是英国Shibboleth公司的一套基于Windows平台的开源的SAML协议的Web单点登录系统. Shibboleth Service Provider before 3.2.1 存在安全漏洞,该漏洞源于模板生成使用攻击者控制的参数. CVE-2021-28965 Sutou Kouhei rexml是Sutou Kouhei开源的一个应用软件.支持树和流文档解析. REXML 存在代码问题漏洞,该漏洞源于解析和序列化一个精心制作的XML文档时,可能会创建一个结构与原始文档不同的错误XML文档. CVE-2021-29136 Aleksa Sarai umoci modifies Open Container images是Aleksa Sarai开源的一个应用软件.OCI图像规范的参考实现,可为用户提供创建,操作容器图像以及与容器图像进行交互的能力. Open Container Initiative umoci 0.4.7之前版本存在安全漏洞,该漏洞源于攻击者可利用该漏洞通过一个精心制作的图像覆盖任意主机路径. CVE-2021-29421 jbarlow83 pikepdf是jbarlow83开源的一个应用软件.一个用于读取和写入PDF文件的Python库. pikepdf package 1.3.0 through 2.9.2 存在安全漏洞,该漏洞源于在解析XMP元数据项时允许XXE. CVE-2021-29424 Perl是Perl(PERL)社区的一款通用、解释型、动态的跨平台编程语言. Perl 2.0000之前版本存在安全漏洞,该漏洞源于没有正确地考虑IP地址字符串开头的多余零字符,攻击者可利用该漏洞绕过基于IP地址的访问控制. CVE-2021-29425 Apache Commons IO是美国阿帕奇基金会(Apache)公司的一个应用程序.提供一个帮助开发IO功能. Apache Commons IO 2.2版本至2.6版本存在路径遍历漏洞,该漏洞源于当使用不正确的输入字符串(例如“ //../foo”或“ .. foo”)调用FileNameUtils.normalize方法时,则可能会提供对父目录中文件的访问权限. CVE-2021-29448 Pi-hole是Pi-hole公司的一款网络级广告拦截应用程序. Pi-hole 存在跨站脚本漏洞,该漏洞源于恶意参与者可以通过网络访问DNS服务器利用该门户. CVE-2021-29449 Pi-hole是Pi-hole公司的一款网络级广告拦截应用程序. Pi-hole core 5.2.4 存在安全漏洞,该漏洞源于Linux网络级的广告和互联网跟踪拦截应用程序. CVE-2021-29462 UPnP是Open Connectivity Foundation基金会的一款通用即插即用协议. UPnP Devices 中的Portable SDK 1.14.6版本及之后版本存在输入验证错误漏洞,该漏洞源于它不检查“主机”报头的值. CVE-2021-29472 composer是 开源的一个应用软件.提供一个声明,管理和安装PHP项目的依赖项. Composer 存在参数注入漏洞,该漏洞源于composer.json和包源代码下载url没有被正确地清除. CVE-2021-29477 Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API. Redis 存在输入验证错误漏洞,该漏洞源于STRALGO LCS命令整数溢出,远程攻击者可利用该漏洞在目标系统上执行任意代码.以下产品及版本受影响:Redis: 6.0.0、6.0.1、6.0.2、6.0.3、6.0.4、6.0.5、6.0.6、6.0.7、6.0.8、6.0.9、6.0.10、6.0.11、6.0.12、6.2.0、6.2.1、6.2.2. CVE-2021-29478 Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API. Redis 存在输入验证错误漏洞,该漏洞源于针对大型intsets的COPY命令中存在整数溢出.远程攻击者可利用该漏洞可以将专门设计的数据传递给应用程序,触发整数溢出,并在目标系统上执行任意代码.以下产品和版本的影响:Redis: 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.6.8, 2.6.9, 2.6.10, 2.6.11, 2.6.12, 2.6.13, 2.6.14, 2.6.15, 2.6.16, 2.6.17, 2.8.0, 2.8.1, 2.8.2, 2.8.3, 2.8.4, 2.8.5, 2.8.6, 2.8.7, 2.8.8, 2.8.9, 2.8.10, 2.8.11, 2.8.12, 2.8.13, 2.8.14, 2.8.15, 2.8.16, 2.8.17, 2.8.18, 2.8.19, 2.8.20, 2.8.21, 2.8.22, 2.8.23, 2.8.24, 3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5, 3.2.6, 3.2.7, 3.2.8, 3.2.9, 3.2.10, 3.2.11, 3.2.12, 3.2.13, 4.0.0, 4.0.1, 4.0.2, 4.0.3, 4.0.4, 4.0.5, 4.0.6, 4.0.7, 4.0.8, 4.0.9, 4.0.10, 4.0.11, 4.0.12, 4.0.13, 4.0.14, 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.0.4, 5.0.5, 5.0.6, 5.0.7, 5.0.8, 5.0.9, 5.0.10, 5.0.11, 5.0.12, 6.0.0, 6.0.1, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7, 6.0.8, 6.0.9, 6.0.10, 6.0.11, 6.0.12, 6.2.0, 6.2.1, 6.2.2. CVE-2021-30004 hostapd是一款访问点和身份验证服务器的用户空间守护程序.wpa_supplicant是一款跨平台的WPA请求程序.该程序支持WEP、WPA和WPA2等. wpa_supplicant and hostapd 2.9 存在输入验证错误漏洞,该漏洞源于tls pkcs1.c和tls x509v3.c算法识别参数处理不当,可能会发生伪造攻击. CVE-2021-30178 Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核. Linux kernel 5.11.11版本及之前版本存在安全漏洞,该漏洞源于arch/x86/kvm/hyperv.c的synic_get有一个空指针引用. CVE-2021-30184 GNU Chess是一款开源的国际象棋游戏引擎. GNU Chess 6.2.7 存在安全漏洞,该漏洞允许攻击者通过精心制作的PGN数据执行任意代码. CVE-2021-31826 Shibboleth是英国Shibboleth公司的一套基于Windows平台的开源的SAML协议的Web单点登录系统. Shibboleth Service Provider 3.x系列3.2.2之前版本存在安全漏洞,该漏洞容易出现涉及会话恢复特性的NULL指针解引用缺陷. CVE-2021-3348 Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核. Linux kernel through 5.10.12 存在安全漏洞,本地攻击者可利用该漏洞在设备安装过程中的某个点通过IO请求触发. CVE-2021-3426 Python pydoc是 (Python)开源的一个python模块.提供了自动利用 Python 模块生成文档.生成的文档可在控制台中显示为文本页面,还可在 Web 浏览器中查阅,或保存为 HTML 文件功能. python 存在安全漏洞,该漏洞允许通过pydoc公开信息. CVE-2021-3445 Red Hat libdnf是美国红帽(Red Hat)公司的一个应用软件.提供一个为libsolv提供简化的C和Python API的库. libdnf 存在安全漏洞,该漏洞源于signature功能允许攻击者实现代码执行. CVE-2021-3448 dnsmasq是一款使用C语言编写的轻量级开源DNS转发和DHCP、TFTP服务器. dnsmasq 存在安全漏洞,该漏洞源于随机源端口行为被禁用,使得缓存攻击成为可能. CVE-2021-3470 Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API. Redis 多款产品存在安全漏洞,该漏洞源于当使用堆分配器而不是jemalloc或glibc的malloc时,会导致潜在的写越限或进程崩溃.以下产品及版本受到影响:Redis in versions before 5.0.10, before 6.0.9 and before 6.2. CVE-2021-3472 X.Org X Server是X.Org(X.org)基金会的一款X Window系统显示服务器. X.Org Server 存在数字错误漏洞,该漏洞允许本地用户升级系统上的特权.这是由于XChangeFeedbackControl()函数内的整数下溢. CVE-2021-3487 GNU Binutils(GNU Binary Utilities或binutils)是GNU社区的开发的一组编程语言工具程序.该程序主要用于处理多种格式的目标文件,并提供有连接器、汇编器和其他用于目标文件和档案的工具. GNU Binutils BFD library 存在资源管理错误漏洞,攻击者可利用该漏洞通过过度消耗内存对系统可用性造成影响. CVE-2021-3497 GStreamer是一套用于处理流媒体的框架. GStreamer 1.18.4之前版本存在资源管理错误漏洞,该漏洞源于对某些格式错误的Matroska文件进行解析时,可能会在错误代码路径中访问已释放的内存. |