| 181 |
CVE-2024-3935 |
中等 |
在Eclipse Mosquito(从2.0.0到2.0.18的版本)中���,如果将一个Mosquito代理配置为创建一个出站桥接连接���,并且该桥接连接有一个配置为使用主题重新映射的传入主题���,那么如果远程连接向该代理发送一个精心制作的PUBLISH包���,则会发生双自由���,导致代理随后崩溃。
|
服务器操作系统 |
2025-02-19 |
| 182 |
CVE-2024-32473 |
中等 |
Moby是一个开源项目���,旨在推动软件的容器化���,并帮助生态系统使容器技术主流化。
Moby 26.0.0和26.0.1版本存在安全漏洞���,该漏洞源于允许攻击者在仅限IPv4的网络接口上启用IPv6。
|
服务器操作系统 |
2025-02-19 |
| 183 |
CVE-2023-28842 |
中等 |
Moby是一个开源项目���,旨在推动软件的容器化���,并帮助生态系统使容器技术主流化。
Moby 1.12版本及之后版本存在安全漏洞。攻击者利用该漏洞通过将任意以太网帧封装在VXLAN数据报中���,将它们注入加密覆盖网络。
|
服务器操作系统 |
2025-02-19 |
| 184 |
CVE-2024-24575 |
重要 |
libgit2 是一个便携式的 C 语言实现的 Git 核心方法���,提供可链接的库和稳定的 API���,允许将 Git 功能嵌入到应用程序中。使用精心构造的输入调用 git_revparse_single 可能导致该函数进入无限循环���,从而可能导致调用应用程序发生拒绝服务攻击(Denial of Service)。在 src/libgit2/revparse.c 文件中的 revparse 函数使用一个循环来解析用户提供的规范字符串。在解析过程中存在一个边缘情况���,允许恶意行为者强制使循环条件访问任意内存。潜在地���,如果提取的 rev 规范被反射回攻击者���,这也可能导致内存泄漏。因此���,版本低于 1.4.0 的 libgit2 不受影响。
|
服务器操作系统 |
2025-02-18 |
| 185 |
CVE-2022-36113 |
重要 |
Cargo 是 Rust 编程语言的包管理器。在下载一个包后���,Cargo 会将其源代码提取到磁盘上的 ~/.cargo 文件夹中���,使其可以在构建 Rust 项目时使用。为了记录提取是否成功���,Cargo 会在提取所有文件后在源代码根目录的 .cargo-ok 文件中写入 "ok"。有研究发现���,Cargo 允许包中包含一个 .cargo-ok 符号链接���,Cargo 会提取这个链接。然后���,当 Cargo 尝试向 .cargo-ok 写入 "ok" 时���,实际上会将符号链接指向的文件的前两个字节替换为 "ok"。这使得攻击者能够在使用 Cargo 提取包的机器上破坏一个文件。需要注意的是���,Cargo 由于构建脚本和过程宏的设计���,允许在构建时执行代码。此安全漏洞使得攻击者可以以一种更难追踪的方式执行一些攻击。为了保护自己免受攻击���,必须信任你的依赖项���,因为通过构建脚本和过程宏���,攻击者仍然能够执行相同的攻击。此漏洞存在于所有版本的 Cargo 中。
|
服务器操作系统 |
2025-02-18 |
| 186 |
CVE-2025-0938 |
中等 |
Python 标准库中的 urllib.parse.urlsplit 和 urlparse 函数接受了包含方括号的域名���,而根据 RFC 3986 这不是有效的。方括号仅应作为分隔符���,用于在 URL 中指定 IPv6 和 IPvFuture 主机。这可能导致 Python URL 解析器与其他符合规范的 URL 解析器之间的解析差异。
|
服务器操作系统 |
2025-02-18 |
| 187 |
CVE-2024-51504 |
严重 |
Apache Zookeeper存在安全漏洞���,该漏洞源于使用IPAuthenticationProvider时���,可能会出现通过欺骗绕过身份验证的情况
|
服务器操作系统 |
2025-02-18 |
| 188 |
CVE-2024-12797 |
重要 |
OpenSSL是一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法���,包括对称密码���、哈希算法���、安全散列算法等。
OpenSSL 3.2版本���、3.3版本和3.4版本存在安全漏洞���,该漏洞源于存在认证检测缺陷���,会导致中间人攻击。
|
服务器操作系统 |
2025-02-18 |
| 189 |
CVE-2024-11168 |
低等 |
urllib.parse.urlsplit() 和 urlparse() 函数未正确验证括号化的主机([])���,允许非 IPv6 或 IPvFuture 的主机。这种行为不符合 RFC 3986 标准���,并且如果一个 URL 被多个 URL 解析器处理���,可能会导致 SSRF(服务器端请求伪造)漏洞。
|
服务器操作系统 |
2025-02-18 |
| 190 |
CVE-2025-24970 |
重要 |
Netty是一款非阻塞I/O客户端-服务器框架���,它主要用于开发Java网络应用程序���,如协议服务器和客户端等。
Netty 4.1.91.Final版本至4.1.118.Final之前版本存在输入验证错误漏洞���,该漏洞源于SslHandler对特定恶意数据包的验证缺陷���,导致原生崩溃。
|
服务器操作系统 |
2025-02-17 |
| 191 |
CVE-2024-53008 |
中等 |
HAProxy中存在HTTP请求/响应走私('HTTP Request/Response Smuggling')的问题���,导致HTTP请求的解释不一致。如果此漏洞被利用���,远程攻击者可能访问受ACL(访问控制列表)限制的路径���,从而获取敏感信息。
|
服务器操作系统 |
2025-02-17 |
| 192 |
CVE-2024-13176 |
中等 |
OpenSSL支持多种加密算法���,包括对称密码���、哈希算法���、安全散列算法等。
OpenSSL存在安全漏洞���,该漏洞源于ECDSA签名计算中某些特定椭圆曲线在处理特定随机数时会产生时间延迟信号���,而攻击者在满足特定条件下可以利用这一信号来尝试恢复私钥。
|
服务器操作系统 |
2025-02-13 |
| 193 |
CVE-2024-12254 |
重要 |
自Python 3.12.0版本起���,asyncio._SelectorSocketTransport.writelines() 方法存在一个漏洞���:当写入缓冲区达到"高水位标记"时���,该方法不会暂停写入操作并向协议层(Protocol)发出信号以清空缓冲区数据到网络。因此���,协议层可能无法定期排空写入缓冲区���,最终导致内存耗尽风险。该漏洞的影响范围较窄���,需同时满足以下条件才会受影响���:
使用Python 3.12.0或更高版本���、运行环境为macOS或Linux系统���、正在使用asyncio模块的协议功能���、调用了.writelines()方法(该方法的零拷贝写入行为在Python 3.12.0中新增)。若不符合上述所有条件���,则您的Python使用不受此漏洞影响。特别说明���:此问题与Python 3.12.0版本在特定平台(macOS/Linux)上对.writelines()方法引入的零拷贝优化实现相关���,可能导致缓冲区未及时清空的情况。
|
服务器操作系统 |
2025-02-12 |
| 194 |
CVE-2024-36623 |
重要 |
Moby v25.0.3 版本在 streamformatter 包中存在一个竞争条件漏洞。该漏洞可能被利用触发多个并发的写操作���,从而导致数据损坏或应用崩溃。
|
服务器操作系统 |
2025-02-11 |
| 195 |
CVE-2024-36621 |
中等 |
Moby v25.0.5 版本在 builder/builder-next/adapters/snapshot/layer.go 文件中存在一个竞争条件漏洞。该漏洞可能被利用触发并发构建���,导致多个构建同时调用 EnsureLayer 函数���,从而引发资源泄漏或资源耗尽。
|
服务器操作系统 |
2025-02-11 |
