CVE编号 | 安全级别 | 描述 | 系统类型 | 发布时间 | |
---|---|---|---|---|---|
3436 | CVE-2014-8109 | 低等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_lua是其中的一个基于Lua编程语言的内容生成模块。
Apache HTTP Server 2.3.x版本和2.4.x版本至2.4.10版本的mod_lua模块中的mod_lua.c文件存在安全漏洞,该漏洞源于程序没有正确支持httped配置。远程攻击者可借助多个Require指令利用该漏洞绕过既定的访问限制。
|
服务器操作系统 | 2014-12-29 |
3437 | CVE-2014-8140 | 低等 |
Info-ZIP UnZip是美国Greg Roelofs软件开发者的一套基于Unix平台的用于对“.zip”文件格式进行解压的工具。Info-ZIP UnZip 6.0及之前版本中的‘test_compr_eb’函数存在缓冲区错误漏洞,该漏洞源于程序没有正确验证边界。远程攻击者可借助特制zip文件利用该漏洞在系统上执行任意代码。
|
服务器操作系统 | 2014-12-22 |
3438 | CVE-2014-8139 | 低等 |
Info-ZIP UnZip是美国Greg Roelofs软件开发者的一套基于Unix平台的用于对“.zip”文件格式进行解压的工具。Info-ZIP UnZip 6.0及之前版本中的CRC32验证存在缓冲区错误漏洞,该漏洞源于程序没有正确验证边界。远程攻击者可借助特制zip文件利用该漏洞在系统上执行任意代码。
|
服务器操作系统 | 2014-12-22 |
3439 | CVE-2016-5699 | 中等 |
Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。Python 2.7.10之前的版本和3.4.4之前的3.x 版本中的urllib2和urllib中的‘HTTPConnection.putheader’函数存在CRLF注入漏洞。远程攻击者可借助URL中的CRLF序列利用该漏洞注入任意HTTP头。
|
服务器操作系统 | 2014-11-24 |
3440 | CVE-2014-9402 | 低等 |
GNU C Library(又名glibc,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU C Library 2.20及之前版本中的‘getnetbyname’函数的nss_dns实现过程中存在安全漏洞。当程序启用Name Service Switch配置中的DNS后台时,远程攻击者可通过在处理网络名期间发送肯定的应答利用该漏洞造成拒绝服务(无限循环)。
|
服务器操作系统 | 2014-11-20 |
3441 | CVE-2014-3566 | 重要 |
OpenSSL是Openssl团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密问题漏洞,该漏洞源于程序使用非确定性的CBC填充。攻击者可借助padding-oracle攻击利用该漏洞实施中间人攻击,获取明文数据。
|
服务器操作系统 | 2014-10-14 |
3442 | CVE-2014-3581 | 低等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache HTTP Server 2.4.11之前版本的mod_cache模块中的modules/cache/cache_util.c文件的‘cache_merge_headers_out’函数中存在安全漏洞。远程攻击者可借助空的HTTP Content-Type头利用该漏洞造成拒绝服务(空指针逆向引用和应用程序崩溃)。
|
服务器操作系统 | 2014-10-10 |
3443 | CVE-2014-7169 | 重要 |
GNU Bash是美国软件开发者布莱恩-福克斯(Brian J. Fox)为GNU计划而编写的一个Shell(命令语言解释器),它运行于类Unix操作系统中(Linux系统的默认Shell),并能够从标准输入设备或文件中读取、执行命令,同时也结合了一部分ksh和csh的特点。GNU Bash 4.3 bash43-025及之前版本中存在安全漏洞,该漏洞源于程序没有正确处理环境变量值内的畸形函数定义。远程攻击者可借助特制的环境变量利用该漏洞写入文件。以下产品和模块受到影响:OpenSSH sshd中的ForceCommand功能,Apache HTTP Server中的mod_cgi和mod_cgid模块,DHCP客户端等。(说明:CNNVD-201409-938漏洞的补丁并没有完全修复该问题,在CNNVD-201409-956中仍然出现)
|
服务器操作系统 | 2014-09-24 |
3444 | CVE-2014-6271 | 严重 |
GNU Bash是美国软件开发者布莱恩-福克斯(Brian J. Fox)为GNU计划而编写的一个Shell(命令语言解释器),它运行于类Unix操作系统中(Linux系统的默认Shell),并能够从标准输入设备或文件中读取、执行命令,同时也结合了一部分ksh和csh的特点。GNU Bash 4.3及之前版本中存在安全漏洞,该漏洞源于程序没有正确处理环境变量值内的函数定义。远程攻击者可借助特制的环境变量利用该漏洞执行任意代码。以下产品和模块可能会被利用:OpenSSH sshd中的ForceCommand功能,Apache HTTP Server中的mod_cgi和mod_cgid模块,DHCP客户端等。(说明:该漏洞的补丁并没有完全修复该问题,CNNVD-201409-956补充了不完整修复后仍存在的问题)
|
服务器操作系统 | 2014-09-24 |
3445 | CVE-2014-3618 | 重要 |
procmail是一套邮件管理工具。该工具支持过滤和排序邮件,创建邮件服务器、邮件列表等。procmail 3.22版本的formail中的formisc.c文件中存在基于堆的缓冲区溢出漏洞。远程攻击者可通过特制的邮件头利用该漏洞造成拒绝服务(崩溃),执行任意代码。
|
服务器操作系统 | 2014-09-04 |
3446 | CVE-2014-3523 | 中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。WinNT MPM是其中的一个专门为Windows NT优化过的多路处理模块(MPM)。
Windows平台上的Apache HTTP Server 2.4.1至2.4.9版本的WinNT MPM中的server/mpm/winnt/child.c文件的‘winnt_accept’函数存在内存泄露漏洞。程序默认使用AcceptFilter时,远程攻击者可通过发送特制的请求利用该漏洞造成拒绝服务(内存消耗)。
|
服务器操作系统 | 2014-07-20 |
3447 | CVE-2014-0117 | 中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_proxy是其中的一个代理模块。Apache HTTP Server 2.4.6至2.4.9版本的mod_proxy模块中存在安全漏洞。程序使用反向代理服务器时,远程攻击者可借助特制的HTTP Connection头利用该漏洞造成拒绝服务(子进程崩溃)。
|
服务器操作系统 | 2014-07-20 |
3448 | CVE-2013-4352 | 中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_cache是其中的一个缓存模块。Apache HTTP Server 2.4.6版本的mod_cache模块的modules/cache/cache_storage.c文件中的‘cache_invalidate’函数存在安全漏洞。程序启用缓存代理服务器时,远程HTTP服务器端攻击者可利用该漏洞造成拒绝服务(空指针逆向引用和守护进程崩溃)。
|
服务器操作系统 | 2014-07-20 |
3449 | CVE-2014-0231 | 中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_cgid是其中的一个用于在线程型MPM(worker)上用一个外部CGI守护进程执行CGI脚本的模块。Apache HTTP Server 2.4.1至2.4.9版本的mod_cgid模块存在安全漏洞,该漏洞源于程序没有超时机制。远程攻击者可通过向CGI脚本发送特制的请求利用该漏洞造成拒绝服务(进程挂起)。
|
服务器操作系统 | 2014-07-17 |
3450 | CVE-2014-0118 | 中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_deflate是其中的一个压缩模块。Apache HTTP Server 2.4.1至2.4.9版本的mod_deflate模块的mod_deflate.c文件中的‘deflate_in_filter’函数存在安全漏洞。程序配置‘request body decompression’时,远程攻击者可通过发送特制的请求数据利用该漏洞造成拒绝服务(资源消耗)。
|
服务器操作系统 | 2014-07-17 |