| CVE编号 | 安全级别 | 描述 | 系统类型 | 发布时间 | |
|---|---|---|---|---|---|
| 391 | CVE-2023-42753 | 重要 |
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel 6.6 版本存在缓冲区错误漏洞,该漏洞源于netfilter 子系统中发现了一个数组索引, 丢失的宏可能会导致h->nets数组偏移量计算错误,从而为攻击者提供了任意增加或减少内存缓冲区越界的原语,导致系统崩溃或权限提升。
|
服务器操作系统 | 2023-10-14 |
| 392 | CVE-2023-42467 | 低等 |
QEMU(Quick Emulator)是法国法布里斯-贝拉(Fabrice Bellard)个人开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。
QEMU 8.0.0版本及之前版本存在安全漏洞。攻击者利用该漏洞导致系统崩溃。
|
服务器操作系统 | 2023-10-14 |
| 393 | CVE-2023-4236 | 重要 |
ISC BIND是美国ISC公司的一套实现了DNS协议的开源软件。
BIND 9版本存在安全漏洞,该漏洞源于断言失败而意外终止。
|
服务器操作系统 | 2023-10-14 |
| 394 | CVE-2023-39319 | 中等 |
Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。Go的语法接近C语言,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础,采取类似模型的其他语言包括Occam和Limbo,但它也具有Pi运算的特征,比如通道传输。在1.8版本中开放插件(Plugin)的支持,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在安全漏洞,该漏洞源于没有应用正确的规则,从而导致操作被错误地转义,这可能会被用来执行跨站脚本(XSS)攻击
|
服务器操作系统 | 2023-10-14 |
| 395 | CVE-2023-39318 | 中等 |
Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。Go的语法接近C语言,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础,采取类似模型的其他语言包括Occam和Limbo,但它也具有Pi运算的特征,比如通道传输。在1.8版本中开放插件(Plugin)的支持,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在跨站脚本漏洞,该漏洞源于无法正确处理类似HTML的注释标记,从而导致操作被错误地转义,这可能会被用来执行跨站脚本(XSS)攻击。
|
服务器操作系统 | 2023-10-14 |
| 396 | CVE-2023-3824 | 严重 |
在8.0.30之前的PHP 8.0.*版本、8.1.22之前的8.1.*版本和8.2.8之前的8.2.*版本中,在加载phar文件时,在读取phar目录项时,长度检查不足可能会导致堆栈缓冲区溢出,从而可能导致内存损坏或RCE。
|
服务器操作系统 | 2023-10-13 |
| 397 | CVE-2023-3823 | 重要 |
在8.0.30之前的8.0.*、8.1.22之前的8.1.*和8.2.8之前的8.2.*版本中,各种XML函数都依赖于libxml全局状态来跟踪配置变量,比如是否加载了外部实体。除非用户通过调用适当的函数显式地更改此状态,否则假定此状态不变。然而,由于状态是进程全局的,其他模块(如ImageMagick)也可以在同一进程中使用此库,并出于内部目的更改该全局状态,并使其处于启用外部实体加载的状态。这可能导致在加载外部实体的情况下解析外部XML,从而导致PHP可访问的任何本地文件被泄露。这种易受攻击的状态可能会在多个请求的同一进程中持续存在,直到进程关闭。
|
服务器操作系统 | 2023-10-13 |
| 398 | CVE-2023-4155 | 中等 |
在Linux内核中的KVM AMD安全加密虚拟化(SEV)中发现一个缺陷。使用带有多个vCPU的SEV-ES或SEV-SNP的KVM来宾可能会触发双取竞争条件漏洞,并递归调用VMGEXIT处理程序。如果攻击者成功多次调用处理程序,则在没有堆栈保护页(CONFIG_VMAP_stack)的内核配置中,他们可能会触发堆栈溢出并导致拒绝服务或潜在的客户到主机转义。
|
服务器操作系统 | 2023-10-13 |
| 399 | CVE-2023-38430 | 严重 |
在6.3.9之前的Linux内核中发现了一个问题。ksmbd不验证MB请求协议ID,导致读取越界。
|
服务器操作系统 | 2023-10-13 |
| 400 | CVE-2023-3317 | 低等 |
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel存在安全漏洞,该漏洞源于存在释放后重用,可能导致内核信息泄露。
|
服务器操作系统 | 2023-10-13 |
| 401 | CVE-2022-3637 | 中等 |
在Linux内核中发现一个漏洞,并将其归类为有问题。此漏洞影响组件BlueZ的文件monitor/jlink.c的函数jlink_init。操作会导致拒绝服务。建议应用修补程序来修复此问题。此漏洞的标识符为VDB-211936。
|
服务器操作系统 | 2023-10-13 |
| 402 | CVE-2022-3563 | 中等 |
在Linux内核中发现了一个被归类为有问题的漏洞。受影响的是组件BlueZ的文件tools/mgmt tester.c的函数read_50_controller_cap_complete。对参数cap_len的操作会导致null指针取消引用。建议应用修补程序来修复此问题。VDB-211086是分配给该漏洞的标识符。
|
服务器操作系统 | 2023-10-13 |
| 403 | CVE-2022-25883 | 重要 |
当不受信任的用户数据作为范围提供时,7.5.2之前的软件包semver版本容易通过函数new Range受到正则表达式拒绝服务(ReDoS)的攻击。
|
服务器操作系统 | 2023-10-13 |
| 404 | CVE-2023-38545 | 重要 |
Curl软件包中的SOCKS5代理握手中发现了一个基于堆的缓冲区溢出漏洞。如果Curl无法自行解析地址,它会将主机名传递给SOCKS5代理。然而,可以传递的主机名的最大长度为255字节。如果主机名过长,Curl将切换到本地名称解析,并将解析后的地址仅传递给代理。在慢速SOCKS5握手期间,指示Curl“让主机解析名称”的本地变量可能会获得错误的值,导致过长的主机名被复制到目标缓冲区,而不是解析后的地址,这并非预期行为。
|
服务器操作系统 | 2023-10-13 |
| 405 | CVE-2023-3354 | 重要 |
QEMU(Quick Emulator)是法国法布里斯-贝拉(Fabrice Bellard)个人开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。
Qemu qemu-kvm存在安全漏洞,该漏洞源于TLS handshake不正确删除会导致拒绝服务(DoS)。
|
服务器操作系统 | 2023-10-11 |
