| 1186 |
CVE-2023-0464 |
重要 |
在处理证书policy校验的时候未做限制���,导致遇到恶意证书链时���,无法识别。攻击者可以通过创建恶意证书链来利用此漏洞���,从而触发计算资源的大量消耗���,对系统进行拒绝服务(DOS)攻击。
|
服务器操作系统 |
2023-04-19 |
| 1187 |
CVE-2023-0466 |
中等 |
记录了函数X509_VERIFY_PARAM_add0_policy()���,用于在进行证书验证时隐式启用证书策略检查。但是���,该功能的实现不启用检查���,该检查允许策略无效或不正确的证书通过证书验证。由于突然启用策略检查可能会破坏现有部署���,因此决定保留X509_VERIFY_PARAM_add0_policy()函数的现有行为。相反���,要求OpenSSL执行证书策略检查的应用程序需要使用X509_VERIFY_PARAM_set1_policies()���,或者通过使用X509_V_FLAG_policy_check标志参数调用X509_VERIFY_PARAM_set_flags()显式启用策略检查。证书策略检查在OpenSSL中默认禁用���,应用程序不常用。
|
服务器操作系统 |
2023-04-19 |
| 1188 |
CVE-2023-27536 |
低等 |
在Curl包中发现一个缺陷。Libcurl将以前使用的连接保存在连接池中���,以便在其中一个连接与设置匹配时重用后续传输。然而���,GSS委派设置被排除在配置匹配检查之外���,这使得它们太容易匹配���,影响了krb5/kerberos/协商/GSAPI传输。
|
服务器操作系统 |
2023-04-18 |
| 1189 |
CVE-2023-27533 |
低等 |
curl<8.0中存在输入验证漏洞���,在使用TELNET协议进行通信的过程中���,攻击者可以在服务器协商过程中传递恶意编制的用户名和“TELNET选项”。由于缺乏正确的输入清理���,攻击者可以在没有应用程序意图的情况下发送内容或执行选项协商。如果应用程序允许用户输入���,则可能会利用此漏洞���,从而使攻击者能够在系统上执行任意代码。
|
服务器操作系统 |
2023-04-18 |
| 1190 |
CVE-2023-1370 |
重要 |
netplex json-smart是开源的一个JSON Java解析器。
netplex json-smart存在安全漏洞���,该漏洞源于代码对到达 JSON 输入中的数组或对象的嵌套没有任何限制���,嵌套数组和对象的解析是递归完成的���,导致堆栈耗尽(堆栈溢出)并导致软件崩溃。
|
服务器操作系统 |
2023-04-18 |
| 1191 |
CVE-2023-1108 |
重要 |
由于SslConduit中更新了意外的握手状态���,因此此问题使得实现拒绝服务成为可能���,其中循环从未终止。
|
服务器操作系统 |
2023-04-17 |
| 1192 |
CVE-2021-3923 |
低等 |
一个缺陷被发现在Linux内核年代RDMA在infiniband的实现。攻击者的特权本地帐户可以泄漏内核堆栈信息时发出指令到/dev/infiniband/rdma_cm设备节点。尽管这不大可能泄漏敏感用户的访问信息,它可以进一步用来打败现有的内核的保护机制。
|
服务器操作系统 |
2023-04-14 |
| 1193 |
CVE-2023-28866 |
中等 |
在Linux内核6.2.8版本中���,net/bluetooth/hci_sync.c允许越界访问���,因为amp_init1[]和amp_init2[]应该有一个故意无效的元素���,但实际上没有。
|
服务器操作系统 |
2023-04-14 |
| 1194 |
CVE-2023-23004 |
中等 |
在Linux内核的Mali-DP设备驱动程序中发现了一个NULL指针解引用缺陷。此缺陷允许本地用户使系统崩溃。
|
服务器操作系统 |
2023-04-14 |
| 1195 |
CVE-2023-1652 |
中等 |
在Linux内核中NFS文件系统的fs/nfsd/nfs4proc.c中的nfsd4_ssc_setup_dul中发现了释放后使用缺陷。此问题可能使本地攻击者使系统崩溃���,或者可能导致内核信息泄露问题。
|
服务器操作系统 |
2023-04-14 |
| 1196 |
CVE-2023-1583 |
中等 |
在Linux内核中io_uring/filetable.c.的io_file_bitmap_get中的io_uring子组件中发现NULL指针取消引用缺陷。此问题可能导致本地用户使系统崩溃。
|
服务器操作系统 |
2023-04-14 |
| 1197 |
CVE-2023-1252 |
中等 |
在Linux内核的Ext4文件系统中发现了一个先用后用的缺陷���,即用户如何在使用覆盖FS的同时触发多个文件操作。此缺陷允许本地用户崩溃或可能升级其在系统上的权限。只有在补丁9a22544037600(“ovl:fix use after free in struct ovl_aio_req”)尚未应用的情况下���,内核才会受到影响。
|
服务器操作系统 |
2023-04-14 |
| 1198 |
CVE-2023-1195 |
中等 |
在Linux内核的fs/cifs/connect.c中的recon_set_ipaddr_from_hostname中发现了一个释放后使用缺陷。当它忘记将空闲指针服务器->主机名设置为NULL���,导致指针请求无效时���,就会出现此问题。
|
服务器操作系统 |
2023-04-14 |
| 1199 |
CVE-2023-1075 |
低等 |
在Linux内核中发现了一个缺陷。tls_is_tx_ready()错误地检查列表是否为空���,可能会访问list_head的类型混淆的条目���,从而泄漏与rec->tx_ready重叠的混淆字段的最后一个字节。
|
服务器操作系统 |
2023-04-14 |
| 1200 |
CVE-2023-1032 |
中等 |
在Linux内核上使用io_uring处理IORING_OP_SOCKET操作时发现了双重释放漏洞。已通过提交修复���:649c15c7691e9b13cbe9bf6c65c365350e056067(net:sock_alloc_file失败时避免双重iput)
|
服务器操作系统 |
2023-04-14 |
