CVE编号 | 安全级别 | 描述 | 系统类型 | 发布时间 | |
---|---|---|---|---|---|
3436 | CVE-2013-7336 | 中等 |
libvirt是一个用于实现Linux虚拟化功能的Linux API,它支持各种Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系统的一些虚拟产品。libvirt 1.1.2及之前的版本的qemu/qemu_migration.c文件中的‘qemuMigrationWaitForSpice’函数存在安全漏洞,该漏洞源于在移动SPICE期间,不能正常进入显示器。本地攻击者可利用该漏洞造成拒绝服务(空指针逆向引用和libvirtd崩溃)。
|
服务器操作系统 | 2013-09-19 |
3437 | CVE-2013-4324 | 重要 |
spice-gtk是一套能够让GObject和GTK连接到Spice服务器的工具。该工具提供了一套可与虚拟桌面和设备进行连接的解决方案。spice-gtk中存在安全漏洞,该漏洞源于在通信期间polkit授权使用不安全的‘polkit_unix_process_new API’函数。本地攻击者可通过setuid或pkexec进程利用该漏洞绕过既定的访问限制。spice-gtk 0.14版本中存在漏洞,其他版本也可能受到影响。
|
服务器操作系统 | 2013-09-18 |
3438 | CVE-2013-4311 | 重要 |
libvirt是一个用于实现Linux虚拟化功能的Linux API,它支持各种Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系统的一些虚拟产品。libvirt中存在安全漏洞,该漏洞源于程序调用PolicyKit pkcheck小工具处理授权时存在竞争条件。本地攻击者可通过setuid或pkexec进程利用该漏洞绕过既定的访问限制。以下版本受到影响:libvirt 1.0.5.6之前的1.0.5.x版本,0.10.2.8之前的0.10.2.x版本,0.9.12.2之前的0.9.12.x版本。
|
服务器操作系统 | 2013-09-18 |
3439 | CVE-2013-4296 | 中等 |
libvirt是一个用于实现Linux虚拟化功能的Linux API,它支持各种Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系统的一些虚拟产品。libvirt中的daemon/remote.c文件中的‘remoteDispatchDomainMemoryStats’函数中的‘stats’变量中存在漏洞。远程经过授权的攻击者可借助特制的RPC调用利用该漏洞导致拒绝服务(未初始化指针引用以及死机)。以下版本受到影响:libvirt 0.9.1至0.10.1.x版本,0.10.2.8之前的0.10.2.x版本,1.0.5.6之前的1.0.x版本,以及1.1.2之前的1.1.x版本。
|
服务器操作系统 | 2013-09-18 |
3440 | CVE-2013-4288 | 重要 |
PolicyKit(又名Polkit)是一个用于在Unix兼容系统中对应用程序进行权限控制的工具。该工具为现代桌面提供了一个中央框架用于授权一般应用程序进行特权工作。PolicyKit (又名polkit)中存在竞争条件漏洞。本地攻击者可利用该漏洞在身份认证检查执行之前调用setuid或pkexec进程,绕过既定的PolicyKit限制,并获取提升的权限。
|
服务器操作系统 | 2013-09-18 |
3441 | CVE-2013-4283 | 重要 |
389 Directory Server是一款企业级的Linux目录服务器。该服务器完全支持LDAPv3规范,具有可扩展、多主复制等特点。389 Directory Server 1.3.0.8之前的版本中的ns-slapd文件中存在拒绝服务漏洞。远程攻击者可发送带有无效Distinguished Name(DN)的MOD操作请求到服务器,利用该漏洞造成拒绝服务(服务器崩溃)。
|
服务器操作系统 | 2013-08-28 |
3442 | CVE-2013-4238 | 中等 |
Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。Python 2.6至3.4版本中的SSL模块中的‘ssl.match_hostname’函数中存在安全漏洞,SSL模块没有正确处理X.509证书的Subject Alternative Name字段中带有空字节的主机名。攻击者可通过中间人攻击利用该漏洞欺骗SSL服务器。成功的利用此漏洞需要获得由权威机构签署并且客户信任的证书。
|
服务器操作系统 | 2013-08-12 |
3443 | CVE-2013-4238 | 中等 |
Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。Python 2.6至3.4版本中的SSL模块中的‘ssl.match_hostname’函数中存在安全漏洞,SSL模块没有正确处理X.509证书的Subject Alternative Name字段中带有空字节的主机名。攻击者可通过中间人攻击利用该漏洞欺骗SSL服务器。成功的利用此漏洞需要获得由权威机构签署并且客户信任的证书。
|
服务器操作系统 | 2013-08-12 |
3444 | CVE-2013-2219 | 中等 |
389 Directory Server(前称Fedora Directory Server)是一款企业级的Linux目录服务器。389 Directory Server中存在安全漏洞,该漏洞源于程序没有正确限制访问实体属性。远程经过授权的攻击者可通过对属性的一系列搜索查询,利用该漏洞获得敏感信息。
|
服务器操作系统 | 2013-07-29 |
3445 | CVE-2013-2231 | 重要 |
QEMU Guest Agent是一套运行在虚拟机内部的普通应用程序。该应用程序可实现宿主机与虚拟机之间的通讯。QEMU Guest Agent服务中存在非引用的Windows搜索路径漏洞。本地攻击者可借助特制程序利用该漏洞获取提升的权限。
|
服务器操作系统 | 2013-07-22 |
3446 | CVE-2013-2251 | 中等 |
一个远程任意代码的高危安全漏洞,这些漏洞可以影响到Struts 2.0.0 – Struts 2.3.15的所有版本。攻击者可以利用该漏洞,执行恶意Java代码,最终导致网站数据被窃取、网页被篡改等严重后果。
|
服务器操作系统 | 2013-07-20 |
3447 | CVE-2013-3783 | 低等 |
Oracle MySQL 5.5.31及之前的版本中的MySQL Server组件中存在安全漏洞。远程经过授权的攻击者可通过Server Parser利用该漏洞影响可用性。
|
服务器操作系统 | 2013-07-17 |
3448 | CVE-2013-4130 | 中等 |
SPICE是一个企业虚拟化桌面版所使用的自适应远程呈现开源协议,它主要用于将用户与其虚拟桌面进行连接,能够提供与物理桌面完全相同的最终用户体验。SPICE 0.12.3及之前的版本中的server/red_channel.c文件中的red_channel_pipes_add_type和red_channel_pipes_add_empty_msg函数中存在安全漏洞,该漏洞源于程序没有正确处理网络错误。远程攻击者可利用该漏洞造成拒绝服务(可达到断言和服务器退出)。
|
服务器操作系统 | 2013-07-05 |
3449 | CVE-2013-2224 | 重要 |
kernel 2.6.32版本中存在漏洞。本地攻击者可通过带有IP_RETOPTS操作的sendmsg系统调用,利用该漏洞造成拒绝服务(无效的释放操作,系统崩溃)或获得特权。
|
服务器操作系统 | 2013-06-30 |
3450 | CVE-2013-2141 | 低等 |
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。NFSv4 implementation是其中的一个分布式文件系统协议。Linux kernel 3.8.8及之前的版本中的kernel/signal.c中的‘do_tkill’函数中存在漏洞,该漏洞源于程序没有初始化特定的数据结构。本地攻击者可通过使用(1)tkill或(2)tgkill系统调用特制的应用程序利用该漏洞获得来自内核内存的敏感信息。
|
服务器操作系统 | 2013-04-17 |