红帽全球峰会3.7. Service Registry 解决了 CVE
以下常见漏洞和暴露(CVE)在 Service Registry 2.5 中解决:
| CVE | 描述 |
|---|---|
| 很难利用漏洞,攻击者可以通过多个协议访问网络,从而破坏了用于 JDK、Oracle GraalVM Enterprise Edition 的 Oracle Java SE、Oracle GraalVM Enterprise Edition 的 Oracle Java SE、Oracle GraalVM Enterprise Edition。 | |
| 很难利用漏洞,在日志中对 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 执行的低特权攻击者、Oracle GraalVM Enterprise Edition 对 JDK、Oracle GraalVM Enterprise Edition 的 Oracle Java SE、Oracle GraalVM Enterprise Edition 造成影响。 | |
| 易利用的漏洞可让通过多个协议进行网络访问的未经身份验证的攻击者破坏了用于 JDK、Oracle GraalVM Enterprise Edition 的 Oracle Java SE、Oracle GraalVM Enterprise Edition。 | |
| 在 Libxml2 中发现了一个安全漏洞,它在 /libxml2/SAXX2.c 的 xmlSAX2StartElement () 函数中包含全局缓冲区溢出。 | |
| Avahi 中发现了一个漏洞。avahi_alternative_host_name ()函数中存在可访问断言。 | |
| Avahi 中发现了一个漏洞。avahi_rdata_parse ()函数中存在可访问断言。 | |
| Avahi 中发现了一个漏洞。dbus_set_host_name 函数中存在可访问断言。 | |
| Avahi 中发现了一个漏洞。avahi_escape_label ()函数中存在可访问断言。 | |
| Avahi 中发现了一个漏洞,它在 avahi_dns_packet_append_record 中存在一个可访问的断言。 | |
| 通过 3.11.3 的 Python 的电子邮件模块错误地解析包含特殊字符的电子邮件地址。 | |
| SQLite3 中发现了一个漏洞。此问题会影响 make alltest Handler 组件中的 ext/session/sqlite3session.c 函数的 sessionReadRecord 功能。操作可能会导致基于堆的缓冲区溢出。 | |
| 发现了一个漏洞,在 RSA-PSK ClientKeyExchange 中格式密码文本的响应时间与 ciphertexts 的响应时间不同,并带有正确的 PKCS#1 v1.5 padding。 | |
| OpenSSL 中发现了一个安全漏洞,这会导致生成或检查较长的 X9.42 DH 密钥或参数要比预期要慢得多。此问题可能会导致拒绝服务。 | |
| 发现,在 NSS 中使用用于 RSA 加密的数字库会泄漏信息,无论 RSA 解密结果的高顺序是零。 | |
| OpenSSL 中发现了一个漏洞。发生此安全问题的原因是,使用 DH_check ()、DH_check_ex ()或 EVP_PKEY_param_check ()函数的应用程序来检查 DH 密钥或 DH 参数可能会长时间延迟。 | |
| 在 plistlib.py 文件中的 read_ints ()函数中的 Python core plistlib 库中发现了一个漏洞。 | |
| 通过 heapq 模块中的 heappushpop 函数在 Python 中发现一个 use-after-free 漏洞。 | |
| 在 avahi 中发现了一个安全漏洞。在 avahi Unix 套接字上指示客户端连接终止的事件没有在 client_work 功能中正确处理,允许本地攻击者触发无限循环。 |
| 问题 | 描述 |
|---|---|
| CVE-2023-5072 JSON-java: parser混淆会导致 OOM 错误。 | |
| CVE-2023-31582 jose4j: Insecure iteration count 设置。 | |
| CVE-2023-44487 undertow: HTTP/2: 启用多个 HTTP/2 的 Web 服务器会受到 DDoS 攻击(Rapid Reset Attack)的影响。 | |
| CVE-2023-39410 avro: apache-avro: Apache Avro Java SDK: Memory when deserialing not data in Avro Java SDK. | |
| CVE-2023-4853 quarkus-vertx-http: quarkus: HTTP 安全策略绕过。 | |
| CVE-2023-39321 CVE-2023-39322 integration-service-registry-operator-container: 各种漏洞。 | |
| CVE-2023-29409 integration-service-registry-operator-container: golang: crypto/tls: slow 验证包含大型 RSA 密钥的证书链。 | |
| CVE-2023-29406 integration-service-registry-operator-container: golang: net/http: insufficient sanitization of Host 标头。 | |
| CVE-2023-34462 netty: SniHandler 16MB 分配会导致 OutOfMemoryError。 | |
| CVE-2023-34455 snappy-java: 未检查的块长度会导致 DoS。 | |
| CVE-2023-35116 jackson-databind: 通过 cyclic 依赖项拒绝服务。 | |
| CVE-2023-1584 quarkus-oidc: ID,通过授权代码流访问令牌泄漏。 |
| CVE | 描述 |
|---|---|
| 所有版本的 Apache Santuario - 2.2.6、2.3.4 和 3.0.3 之前的 Java 的 XML 安全性都会受到使用 JSR 105 API 的问题的影响,当生成带有 debug 级别的 XML 签名和日志记录时,可以在日志文件中披露私钥。 | |
| 在 snappy-java 中的 SnappyInputStream 中发现了一个安全漏洞,它是 Java 中的数据压缩库。当因为块长度缺少上限检查而解压缩带有太大的块数据时,会发生此问题。 | |
| Apache Commons Compress: Denial of service via CPU consumption for malformed TAR 文件。 | |
| Python 3 ssl.SSLSocket 容易受到对 HTTPS 服务器在特定实例中绕过 TLS 握手的攻击,以及使用 TLS 客户端身份验证的其他服务器端协议,如 mTLS。 | |
| 在解析带有 kaml 中标记的 polymorphism 风格的 polymorphic 输入时拒绝服务 | |
| 在 Snappy-java 的 shuffle 函数中发现了一个安全漏洞,它在开始操作前不会检查输入大小。 | |
| 在 ncurses 中发现了一个漏洞,由 setuid 应用程序使用时进行。 | |
| 在使用定位符和别名解析输入时,kaml 的潜在拒绝服务。 | |
| 当在 netty 中使用多部分解码器时,如果启用了在磁盘上存储上传,则本地信息披露可能会通过本地系统临时目录发生。 | |
| 在处理 GLIBC_TUNABLES 环境变量时,GNU C 库的动态加载程序 ld.so 中发现了一个缓冲区溢出。 | |
| glibc 中发现了一个安全漏洞。在不常用的情形中,gaih_inet 函数可以使用已释放的内存,从而导致应用程序崩溃。 | |
| glibc 中发现了一个安全漏洞。在非常罕见的情况下,getaddrinfo 函数可以访问已释放的内存,从而导致应用程序崩溃。 | |
| glibc 中发现了一个安全漏洞。当使用 AF_UNSPEC 地址系列调用 getaddrinfo 函数,且系统通过 /etc/resolv.conf 配置为 no-aaaa 模式时,通过 TCP 大于 2048 字节的 DNS 响应可以通过函数返回的地址数据披露堆栈内容,并可能导致崩溃。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}