发现部分使用GPG key签名OpenSSH软件包存在木马。该类包含木马的软件包并非官方发布，因此受影响的用户仅限于自非官方途径获取软件包的用户。

在Samba中，当处理连接到私有目录中的Unix域套接字的客户端管道名称时，发现了一个路径遍历漏洞。Samba通常使用这种机制将SMB客户机连接到SAMR LSA或SPOOLSS等远程过程调用(RPC)服务，这些服务是Samba按需启动的。然而，由于对传入客户端管道名称的处理不足，允许客户端发送包含Unix目录遍历字符(../)的管道名称。这可能导致SMB客户机以根身份连接到私有目录之外的Unix域套接字。如果攻击者或客户端设法使用现有的Unix域套接字将管道名称解析发送到外部服务，则可能导致对服务的未经授权访问和相应的不良事件，包括妥协或服务崩溃。

Intel Hyperscan是美国英特尔（Intel）公司的一个高性能的多正则表达式匹配库。 Intel(R) Hyperscan Library 5.4.1之前版本存在安全漏洞，该漏洞源于控制流管理不足。攻击者利用该漏洞导致系统拒绝服务。

OpenSSH（OpenBSD Secure Shell）是Openbsd计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH 8.7之前版本存在安全漏洞，允许远程攻击者怀疑 SSH 服务器知道用户名和公钥的特定组合，以测试这种怀疑是否正确。 发生这种情况是因为仅当该组合对登录会话有效时才会发送质询。

在Samba中发现了一个缺陷。它容易受到一个漏洞的影响，在这个漏洞中可以启动多个不兼容的RPC侦听器，从而导致AD DC服务中断。当Samba RPC服务器经历高负载或无响应时，用于非ad DC目的的服务器(例如，nt4仿真经典DC)可能会错误地启动并竞争相同的unix域套接字。此问题会导致AD数据中心的查询响应不完整，在使用Active Directory Users等工具时出现“程序号超出范围”等问题。该漏洞允许攻击者破坏AD数据中心服务。

OpenSC是一款开源的智能卡工具和中间件。 OpenSC 0.17.0 到0.23.0版本存在安全漏洞，该漏洞源于当令牌卡插入计算机并进行身份验证时，存在潜在的 PIN 绕过。

Oracle Java SE是美国甲骨文（Oracle）公司的一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。 Oracle Java SE 的 Oracle Java SE, Oracle GraalVM Enterprise Edition, Oracle GraalVM for JDK product 存在安全漏洞，该漏洞源于 Hotspot 模块允许未经身份验证的攻击者通过多种协议进行网络访问，从而危害 Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK。成功攻击此漏洞可能会导致对 Oracle Java SE、Oracle GraalVM Enterprise Edition、Oracle GraalVM for JDK 可访问数据的子集进行未经授权的读取访问。 注意：可以通过使用指定组件中的 API 来利用此漏洞，例如，通过向 API 提供数据的 Web 服务。 此漏洞还适用于 Java 部署，通常在运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的客户端中，这些部署加载和运行不受信任的代码（例如，来自 Internet 的代码）并依赖 Java 沙箱来确保安全。

Oracle Java SE是美国甲骨文（Oracle）公司的一款用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。 Oracle Java SE 存在安全漏洞，该漏洞源于 JavaFX 模块允许未经身份验证的攻击者通过多种协议进行网络访问来危害 Oracle Java SE。成功攻击此漏洞可能会导致对关键数据或所有 Oracle Java SE 可访问数据进行未经授权的创建、删除或修改访问。 注意：此漏洞适用于 Java 部署，通常在运行沙盒 Java Web Start 应用程序或沙盒 Java 小程序的客户端中，这些部署加载和运行不受信任的代码（例如，来自 Internet 的代码）并依赖 Java 沙箱来确保安全。 此漏洞不适用于仅加载和运行受信任代码（例如，由管理员安装的代码）的 Java 部署（通常在服务器中）。

OpenJDK是OpenJDK开源的一个 Java 的开发环境的开源版本。 OpenJDK和Oracle JDK存在安全漏洞，该漏洞源于函数 ciMethodBlocks::make_block_at存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（DoS）。受影响的产品和版本：Oracle JDK (HotSpot VM) 11版本，17 版本；OpenJDK (HotSpot VM) 8版本，11版本，17版本。

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。 Linux Kernel 6.2版本存在安全漏洞，该漏洞源于启用了普通的IBRS导致用户空间进程易受攻击。

Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。 Apache Tomcat 存在安全漏洞，该漏洞源于回收内部对象时存在安全漏洞，导致请求/响应信息泄露。受影响的产品和版本：Apache Tomcat 11.0.0-M1至11.0.0-M11版本，10.1.0-M1至10.1.13版本，9.0.0-M1至9.0.80版本，8.5.0至8.5.93版本。

各种node:fs函数允许将路径指定为字符串或Uint8Array对象。在Node.js环境中，Buffer类扩展了Uint8Array类。Node.js阻止路径遍历字符串（请参见CVE-2023-30584）和Buffer对象（请参见CVT-2023-32004），但不阻止路径遍历非Buffer Uint8Array对象。这与CVE-2023-32004（报告2038134）不同，后者仅引用Buffer对象。然而，该漏洞遵循使用Uint8Array而不是Buffer的相同模式。影响：该漏洞影响所有使用Node.js 20中实验性权限模型的用户。请注意，在发布此CVE时，权限模型是Node.js的实验性功能。

之前披露的漏洞（CVE-2023-30584）在commit 205f1e6中修补不足。出现新的路径遍历漏洞是因为该实现无法保护自己免受应用程序使用用户定义的实现覆盖内置实用程序函数的影响。请注意，在发布此CVE时，权限模型是Node.js的一个实验功能。

Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。 Google Golang 存在安全漏洞，该漏洞源于行指令（“//line”）可用于绕过“//go:cgo_”指令的限制，允许在编译期间传递阻止的链接器和编译器标志,这可能会导致运行go build时意外执行任意代码。

ImageMagick存在安全漏洞，该漏洞源于函数PushCharPixel()存在缓冲区溢出漏洞。