红帽全球峰会1.7. Apicurio Registry 解决了 CVE
以下通用漏洞和暴露(CVE)已在 Apicurio Registry 2.6 中解决:
| CVE | 描述 |
|---|---|
| LZ4 库中的基于堆的缓冲区溢出漏洞允许恶意参与者导致数据崩溃或崩溃。 | |
| Python 的 tarfile 模块中的一个漏洞允许攻击者修改预期提取目录之外的文件元数据或权限。 | |
| GNOME GLib 中的一个漏洞允许经过身份验证的本地攻击者发送欺骗 D-Bus 信号,这可能会导致客户端行为不当,并会对应用程序产生影响。 | |
| GNOME GLib 的 SOCKS 代理代码中的缓冲区溢出可能会导致拒绝服务、信息披露或数据修改。 | |
| Python 的 tarfile 模块中的一个漏洞允许攻击者忽略提取过滤器,并创建到目标目录外文件的符号链接。 | |
| Python 的 tarfile 模块中的一个漏洞允许攻击者绕过提取过滤器,启用符号链接指向预期目录之外的文件。 | |
| GNOME GLib 的 gstring_insert_unichar ()函数中的整数溢出漏洞可能会导致写和内存崩溃的缓冲区。 | |
| 当归档提取过程中使用了特定的错误级别设置时,Python 的 setuptools 中的漏洞允许意外的文件提取。 | |
| Python 的 tarfile 模块中有一个关键漏洞,允许在提取目录外进行任意文件系统写入。 | |
| libxml2 的 xmlBuildQName 函数中的整数溢出可能会导致基于堆栈的缓冲区溢出,从而导致内存崩溃或拒绝服务。 | |
| SQLite 中的内存损坏漏洞可以通过精心设计的 SQL 查询来利用,其中聚合术语的数量超过了列数。 | |
| libxslt 中的 Use-After-Free 漏洞可在修改属性类型标记时导致内存崩溃和应用程序崩溃。 | |
| libxslt 中的一个漏洞允许攻击者因为基于堆栈的缓冲而造成拒绝服务状况。 | |
| 未经身份验证的攻击者利用 Oracle Java SE 的 2D 组件中的一个漏洞来接管系统或泄漏数据。 | |
| Oracle Java SE 的 JSSE 组件中的一个漏洞允许未经身份验证的攻击者通过精心设计的 TLS 握手获得未经授权的读取、插入、更新或删除数据访问。 | |
| libxml2 的 Python API 中的内存不足访问漏洞可能会导致信息泄露或数据修改。 | |
| setuptools Python 软件包中的路径遍历漏洞允许攻击者将文件写入文件系统的任意位置。 | |
| libxml2 中的 Use-After-Free 漏洞可以由带有 XPath 元素的特殊制作的 XML 文档触发,从而导致内存崩溃。 | |
| libxml2 中存在一个越界读取漏洞,可以通过特制的 XML 文件来触发,从而导致内存损坏和拒绝服务。 | |
| Oracle Java SE 中的网络漏洞可被具有网络访问的未经身份验证的攻击者利用,从而导致未经授权的数据访问。 | |
| Oracle Java SE 的 2D 组件中的一个漏洞可能会导致系统完全接管,对机密、完整性和可用性造成高影响。 |
| CVE | 描述 |
|---|---|
|
glibc 缺陷允许静态链接 setuid 程序调用 | |
| libxml2 的 Python API 中的内存不足访问漏洞可能会导致信息泄露或数据修改。 |
| CVE | 描述 |
|---|---|
| libexpat 库中存在一个堆栈溢出漏洞,因为它处理 XML 文档中的递归实体扩展。当解析带有深度嵌套实体引用的 XML 文档时,可以强制使用 libexpat 来无限期地递归。 | |
| libtasn1 中的一个缺陷会导致对特定证书数据的处理效率低下。当处理证书中的大量元素时,libtasn1 需要的时间比预期要长,这可能会减慢系统崩溃。 | |
| GnuTLS 中发现了一个安全漏洞,它依赖于 libtasn1 用于 ASN.1 数据处理。此漏洞允许远程攻击者发送特殊设计的证书,从而导致 GnuTLS 变得无响应或速度较慢,从而导致拒绝服务状况。 | |
| MIT Kerberos 实施中的漏洞允许使用 RC4-HMAC-MD5 的 GSSAPI 保护的消息被欺骗。攻击者可以利用 MD5 冲突来伪造消息完整性代码。这可能会导致未经授权的消息篡改。 | |
| Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 产品的 Oracle GraalVM Enterprise Edition 漏洞(component: JSSE),从而导致使用 API 漏洞利用。 | |
| Oracle Java SE 中的漏洞(component: Compiler),从而导致可以使用 API 利用的漏洞。 | |
| Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition 产品的 Oracle Java SE (component: 2D)漏洞。成功攻击此漏洞可能会导致未经授权更新、插入或删除对某些数据的访问。 |
| CVE | 描述 |
|---|---|
| 在解压缩时,Linux 内核的 bzip2 功能中发现了一个数据完整性错误。由于解压缩这些文件,本地用户可能会得到意外的结果(或损坏的数据)。 |
| CVE | 描述 |
|---|---|
|
Python | |
|
Python 中发现了一个安全漏洞。 |
| CVE | 描述 |
|---|---|
| 在 Apache Avro 中发现了一个漏洞,攻击者可以通过使用特殊的 "java-class" 属性来触发远程代码执行。 |
| CVE | 描述 |
|---|---|
| curl:HTTP/2 push 标头 memory-leak. |
| CVE | 描述 |
|---|---|
| Quarkus 中的漏洞会导致本地配置属性泄漏到 Quarkus 应用程序。 | |
| Express.js 框架中的一个缺陷会导致评估不正确的 URL。 | |
| webpack-dev-middleware 软件包中的一个缺陷可能会导致文件泄漏。 | |
| jose4j 库中的一个漏洞允许通过特制的 JWE 拒绝服务。 | |
| jetty Web 服务器中的一个漏洞可能会导致服务器停止接受来自有效客户端的新连接。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}