| CVE編號 | 安全級別 | 描述 | 系統類型 | 發布時間 | |
|---|---|---|---|---|---|
| 16 | CVE-2022-43551 | 中等 |
curl是一款用于從服務器傳輸數據或向服務器傳輸數據的工具。
curl存在安全漏洞,該漏洞源于HSTS檢查被繞過,以欺騙它繼續使用HTTP。攻擊者利用該漏洞可以訪問curl上的數據,以讀取敏感信息。
|
服務器操作系統 | 2023-10-27 |
| 17 | CVE-2020-19909 | 低等 |
curl命令行的retry delay參數值設置過大可能導致整型溢出。
|
服務器操作系統 | 2023-10-19 |
| 18 | CVE-2018-15919 | 中等 |
OpenSSH(OpenBSD Secure Shell)是OpenBSD計劃組的一套用于安全訪問遠程計算機的連接工具。該工具是SSH協議的開源實現,支持對所有的傳輸進行加密,可有效阻止竊聽、連接劫持以及其他網絡級的攻擊。OpenSSH 7.8及之前版本中的auth-gss2.c文件存在信息泄露漏洞。該漏洞源于網絡系統或產品在運行過程中存在配置等錯誤。未授權的攻擊者可利用漏洞獲取受影響組件敏感信息。
|
桌面操作系統 | 2023-10-18 |
| 19 | CVE-2020-15778 | 重要 |
OpenSSH(OpenBSD Secure Shell)是OpenBSD計劃組的一套用于安全訪問遠程計算機的連接工具。該工具是SSH協議的開源實現,支持對所有的傳輸進行加密,可有效阻止竊聽、連接劫持以及其他網絡級的攻擊。 OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系統命令注入漏洞。該漏洞源于外部輸入數據構造操作系統可執行命令過程中,網絡系統或產品未正確過濾其中的特殊字符、命令等。攻擊者可利用該漏洞執行非法操作系統命令。
|
桌面操作系統 | 2023-10-18 |
| 20 | CVE-2023-41105 | 重要 |
Python是Python基金會的一套開源的、面向對象的程序設計語言。該語言具有可擴展、支持模塊和包、支持多種平臺等特點。
Python 3.11版本至3.11.4版本存在安全漏洞,該漏洞源于存在路徑意外截斷。
|
服務器操作系統 | 2023-10-17 |
| 21 | CVE-2022-48564 | 中等 |
Python是Python基金會的一套開源的、面向對象的程序設計語言。該語言具有可擴展、支持模塊和包、支持多種平臺等特點。
Python 3.9.1 存在安全漏洞,該漏洞源于 plistlib.py 中的 read_ints 很容易因 CPU 和 RAM 耗盡而受到潛在的 DoS 攻擊。
|
服務器操作系統 | 2023-10-17 |
| 22 | CVE-2023-4807 | 重要 |
OpenSSL是OpenSSL團隊的一個開源的能夠實現安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協議的通用加密庫。該產品支持多種加密算法,包括對稱密碼、哈希算法、安全散列算法等。
OpenSSL 1.1.1 至 1.1.1v版本、3.0.0 至 3.0.10 版本以及 3.1.0 至 3.1.2版本存在安全漏洞,該漏洞源于POLY1305 MAC(消息身份驗證代碼)包含一個錯誤,當在支持 AVX512-IFMA 指令的較新 X86_64 處理器上運行時,可能會破壞 Windows 64 平臺上的應用程序內部狀態。
|
服務器操作系統 | 2023-10-16 |
| 23 | CVE-2023-32001 | 中等 |
curl是一款用于從服務器傳輸數據或向服務器傳輸數據的工具。
curl存在安全漏洞,該漏洞源于容易受到 TOCTOU 競爭條件問題的影響,攻擊者利用該漏洞可以欺騙受害者以非預期的方式創建或覆蓋保存此數據的受保護文件。
|
服務器操作系統 | 2023-10-16 |
| 24 | CVE-2023-42753 | 重要 |
Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。
Linux kernel 6.6 版本存在緩沖區錯誤漏洞,該漏洞源于netfilter 子系統中發現了一個數組索引, 丟失的宏可能會導致h->nets數組偏移量計算錯誤,從而為攻擊者提供了任意增加或減少內存緩沖區越界的原語,導致系統崩潰或權限提升。
|
服務器操作系統 | 2023-10-14 |
| 25 | CVE-2023-42467 | 低等 |
QEMU(Quick Emulator)是法國法布里斯-貝拉(Fabrice Bellard)個人開發者的一套模擬處理器軟件。該軟件具有速度快、跨平臺等特點。
QEMU 8.0.0版本及之前版本存在安全漏洞。攻擊者利用該漏洞導致系統崩潰。
|
服務器操作系統 | 2023-10-14 |
| 26 | CVE-2023-4236 | 重要 |
ISC BIND是美國ISC公司的一套實現了DNS協議的開源軟件。
BIND 9版本存在安全漏洞,該漏洞源于斷言失敗而意外終止。
|
服務器操作系統 | 2023-10-14 |
| 27 | CVE-2023-39319 | 中等 |
Google Golang是美國谷歌(Google)公司的一種靜態強類型、編譯型語言。Go的語法接近C語言,但對于變量的聲明有所不同。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進程(CSP)為基礎,采取類似模型的其他語言包括Occam和Limbo,但它也具有Pi運算的特征,比如通道傳輸。在1.8版本中開放插件(Plugin)的支持,這意味著現在能從Go中動態加載部分函數。
Google Golang 存在安全漏洞,該漏洞源于沒有應用正確的規則,從而導致操作被錯誤地轉義,這可能會被用來執行跨站腳本(XSS)攻擊
|
服務器操作系統 | 2023-10-14 |
| 28 | CVE-2023-39318 | 中等 |
Google Golang是美國谷歌(Google)公司的一種靜態強類型、編譯型語言。Go的語法接近C語言,但對于變量的聲明有所不同。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進程(CSP)為基礎,采取類似模型的其他語言包括Occam和Limbo,但它也具有Pi運算的特征,比如通道傳輸。在1.8版本中開放插件(Plugin)的支持,這意味著現在能從Go中動態加載部分函數。
Google Golang 存在跨站腳本漏洞,該漏洞源于無法正確處理類似HTML的注釋標記,從而導致操作被錯誤地轉義,這可能會被用來執行跨站腳本(XSS)攻擊。
|
服務器操作系統 | 2023-10-14 |
| 29 | CVE-2023-38545 | 重要 |
Curl軟件包中的SOCKS5代理握手中發現了一個基于堆的緩沖區溢出漏洞。如果Curl無法自行解析地址,它會將主機名傳遞給SOCKS5代理。然而,可以傳遞的主機名的最大長度為255字節。如果主機名過長,Curl將切換到本地名稱解析,并將解析后的地址僅傳遞給代理。在慢速SOCKS5握手期間,指示Curl“讓主機解析名稱”的本地變量可能會獲得錯誤的值,導致過長的主機名被復制到目標緩沖區,而不是解析后的地址,這并非預期行為。
|
服務器操作系統 | 2023-10-13 |
| 30 | CVE-2023-38545 | 重要 |
libcurl是一個免費且易于使用的客戶端URL傳輸庫。該缺陷可能導致curl的SOCKS5堆緩沖區溢出。
|
桌面操作系統 | 2023-10-11 |
