CVE编号 | 安全级别 | 描述 | 系统类型 | 发布时间 | |
---|---|---|---|---|---|
3856 | CVE-2021-3559 | 中等 |
在 7.0.0 之前的版本中,发现 libvirt 的 virConnectListAllNodeDevices API 存在漏洞。 该漏洞仅影响具有 PCI 设备和支持中介设备的驱动程序(如 GRID 驱动程序)的主机。拥有只读连接的未授权客户端可通过执行 "nodedev-list "virsh 命令,利用此漏洞使 libvirt 守护进程崩溃。此漏洞的最大威胁是系统可用性。
|
服务器操作系统 | 2020-12-02 |
3857 | CVE-2020-25638 | 中等 |
Hibernate ORM是一款用于编写应用程序的对象/关系映射(ORM)框架。Hibernate ORM 存在SQL注入漏洞,攻击者可利用该漏洞通过Hibernate ORM的注释使用SQL注入来读取或修改数据。
|
服务器操作系统 | 2020-12-02 |
3858 | CVE-2020-27841 | 低等 |
OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。OpenJPEG 存在缓冲区错误漏洞,攻击者可利用该漏洞通过lib/openjp2/pi.c触发缓冲区溢出,以触发拒绝服务,并可能运行代码。
|
服务器操作系统 | 2020-12-01 |
3859 | CVE-2019-3880 | 中等 |
在samba实现模拟Windows注册表服务API的RPC端点的方式中发现了一个缺陷。未经授权的攻击者可以利用此漏洞在其拥有unix权限的任何位置创建新的注册表配置单元文件,这可能导致在Samba共享中创建新文件。
|
服务器操作系统 | 2020-12-01 |
3860 | CVE-2020-27841 | 低等 |
OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。OpenJPEG 存在缓冲区错误漏洞,攻击者可利用该漏洞通过lib/openjp2/pi.c触发缓冲区溢出,以触发拒绝服务,并可能运行代码。
|
服务器操作系统 | 2020-12-01 |
3861 | CVE-2018-20802 | 中等 |
MongoDB 存在安全漏洞,该漏洞源于被授权执行数据库查询的用户可能会发出特殊的、带有影响QueryPlanner的复合索引的查询,从而触发服务拒绝
|
服务器操作系统 | 2020-11-30 |
3862 | CVE-2020-1967 | 严重 |
在OpenSSL处理某些TLS握手消息的方式中发现了NULL指针取消引用缺陷。此漏洞允许未经身份验证的攻击者导致使用OpenSSL编译的服务器应用程序崩溃,从而导致拒绝服务。在某些情况下,恶意服务器还可能导致使用OpenSSL编译的客户端崩溃。
|
服务器操作系统 | 2020-11-30 |
3863 | CVE-2020-15257 | 中等 |
containerd是美国阿帕奇(Apache)基金会的一个容器守护进程。该进程根据 RunC OCI 规范负责控制宿主机上容器的完整周期。
containerd 1.3.9之前版本和1.4.3版本存在安全漏洞,该漏洞源于containerd-shim API被不正确地公开给主机网络容器。shim s API套接字的访问控制验证了连接进程的有效UID为0,但是没有限制对抽象Unix域套接字的访问。这将允许在与shim相同的网络名称空间中运行的恶意容器,其有效UID为0,但在其他方面减少了特权,从而导致使用elevat运行新进程。
|
服务器操作系统 | 2020-11-30 |
3864 | CVE-2020-1967 | 严重 |
在OpenSSL处理某些TLS握手消息的方式中发现了NULL指针取消引用缺陷。此漏洞允许未经身份验证的攻击者导致使用OpenSSL编译的服务器应用程序崩溃,从而导致拒绝服务。在某些情况下,恶意服务器还可能导致使用OpenSSL编译的客户端崩溃。
|
服务器操作系统 | 2020-11-30 |
3865 | CVE-2020-29372 | 中等 |
Linux kernel 5.6.8之前版本存在安全漏洞,该漏洞源于do_madvise in mm/madvise.c发现了一个问题。coredump操作和IORING_OP_MADVISE实现之间存在竞争条件。
|
服务器操作系统 | 2020-11-28 |
3866 | CVE-2019-9947 | 中等 |
Python是一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。urllib是其中的一个用于处理URL的模块。urllib2是其中的一个用于获取URL(统一资源定位符)的模块。Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。
Python 2.x版本至2.7.16版本中的urllib2和Python 3.x版本至3.7.2版本中的urllib存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。
|
服务器操作系统 | 2020-11-28 |
3867 | CVE-2018-20852 | 中等 |
http.cookiejar.DefaultPolicy.domain在Lib/http中返回“确定”/cookiejar.py在python3.7.3之前的版本中,不能正确地验证域:它可能会被欺骗将现有的cookie发送到错误的服务器。攻击者可以使用主机名为另一个有效主机名作为后缀(例如。,pythonicexample.com网站偷饼干example.com网站). 当程序使用http.cookiejar.DefaultPolicy并尝试与攻击者控制的服务器建立HTTP连接,现有的Cookie可能会泄漏给攻击者。在7.7.3.3.6.3.3.6.3.3.6.3.3之前。
|
服务器操作系统 | 2020-11-28 |
3868 | CVE-2019-16935 | 中等 |
Python 中的documentation XML-RPC服务器存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
|
服务器操作系统 | 2020-11-28 |
3869 | CVE-2021-3487 | 中等 |
GNU Binutils(GNU Binary Utilities或binutils)是GNU社区的开发的一组编程语言工具程序。该程序主要用于处理多种格式的目标文件,并提供有连接器、汇编器和其他用于目标文件和档案的工具。GNU Binutils BFD library 存在资源管理错误漏洞,攻击者可利用该漏洞通过过度消耗内存对系统可用性造成影响。
|
服务器操作系统 | 2020-11-26 |
3870 | CVE-2019-20925 | 中等 |
Mongodb Server是美国Mongodb公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。
MongoDB Server 存在授权问题漏洞,该漏洞允许未经身份验证的客户端可以通过发出特制的有线协议消息来触发拒绝服务,这会导致消息解压器错误地分配内存。以下产品及版本受到影响:MongoDB Server v4.2版本至4.2.1版本; v4.0版本至4.0.13版本; v3.6版本至3.6.15版本; v3.4版本至3.4.24版本。
|
服务器操作系统 | 2020-11-24 |