| 5011 |
CVE-2014-7169 |
重要 |
GNU Bash是美国软件开发者布莱恩-福克斯(Brian J. Fox)为GNU计划而编写的一个Shell(命令语言解释器)���,它运行于类Unix操作系统中(Linux系统的默认Shell)���,并能够从标准输入设备或文件中读取���、执行命令���,同时也结合了一部分ksh和csh的特点。GNU Bash 4.3 bash43-025及之前版本中存在安全漏洞���,该漏洞源于程序没有正确处理环境变量值内的畸形函数定义。远程攻击者可借助特制的环境变量利用该漏洞写入文件。以下产品和模块受到影响���:OpenSSH sshd中的ForceCommand功能���,Apache HTTP Server中的mod_cgi和mod_cgid模块���,DHCP客户端等。(说明���:CNNVD-201409-938漏洞的补丁并没有完全修复该问题���,在CNNVD-201409-956中仍然出现)
|
服务器操作系统 |
2014-09-24 |
| 5012 |
CVE-2014-6271 |
严重 |
GNU Bash是美国软件开发者布莱恩-福克斯(Brian J. Fox)为GNU计划而编写的一个Shell(命令语言解释器)���,它运行于类Unix操作系统中(Linux系统的默认Shell)���,并能够从标准输入设备或文件中读取���、执行命令���,同时也结合了一部分ksh和csh的特点。GNU Bash 4.3及之前版本中存在安全漏洞���,该漏洞源于程序没有正确处理环境变量值内的函数定义。远程攻击者可借助特制的环境变量利用该漏洞执行任意代码。以下产品和模块可能会被利用���:OpenSSH sshd中的ForceCommand功能���,Apache HTTP Server中的mod_cgi和mod_cgid模块���,DHCP客户端等。(说明���:该漏洞的补丁并没有完全修复该问题���,CNNVD-201409-956补充了不完整修复后仍存在的问题)
|
服务器操作系统 |
2014-09-24 |
| 5013 |
CVE-2014-3618 |
重要 |
procmail是一套邮件管理工具。该工具支持过滤和排序邮件���,创建邮件服务器���、邮件列表等。procmail 3.22版本的formail中的formisc.c文件中存在基于堆的缓冲区溢出漏洞。远程攻击者可通过特制的邮件头利用该漏洞造成拒绝服务(崩溃)���,执行任意代码。
|
服务器操作系统 |
2014-09-04 |
| 5014 |
CVE-2014-3523 |
中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。WinNT MPM是其中的一个专门为Windows NT优化过的多路处理模块(MPM)。
Windows平台上的Apache HTTP Server 2.4.1至2.4.9版本的WinNT MPM中的server/mpm/winnt/child.c文件的‘winnt_accept’函数存在内存泄露漏洞。程序默认使用AcceptFilter时���,远程攻击者可通过发送特制的请求利用该漏洞造成拒绝服务(内存消耗)。
|
服务器操作系统 |
2014-07-20 |
| 5015 |
CVE-2014-0117 |
中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_proxy是其中的一个代理模块。Apache HTTP Server 2.4.6至2.4.9版本的mod_proxy模块中存在安全漏洞。程序使用反向代理服务器时���,远程攻击者可借助特制的HTTP Connection头利用该漏洞造成拒绝服务(子进程崩溃)。
|
服务器操作系统 |
2014-07-20 |
| 5016 |
CVE-2013-4352 |
中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_cache是其中的一个缓存模块。Apache HTTP Server 2.4.6版本的mod_cache模块的modules/cache/cache_storage.c文件中的‘cache_invalidate’函数存在安全漏洞。程序启用缓存代理服务器时���,远程HTTP服务器端攻击者可利用该漏洞造成拒绝服务(空指针逆向引用和守护进程崩溃)。
|
服务器操作系统 |
2014-07-20 |
| 5017 |
CVE-2014-0231 |
中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_cgid是其中的一个用于在线程型MPM(worker)上用一个外部CGI守护进程执行CGI脚本的模块。Apache HTTP Server 2.4.1至2.4.9版本的mod_cgid模块存在安全漏洞���,该漏洞源于程序没有超时机制。远程攻击者可通过向CGI脚本发送特制的请求利用该漏洞造成拒绝服务(进程挂起)。
|
服务器操作系统 |
2014-07-17 |
| 5018 |
CVE-2014-0118 |
中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_deflate是其中的一个压缩模块。Apache HTTP Server 2.4.1至2.4.9版本的mod_deflate模块的mod_deflate.c文件中的‘deflate_in_filter’函数存在安全漏洞。程序配置‘request body decompression’时���,远程攻击者可通过发送特制的请求数据利用该漏洞造成拒绝服务(资源消耗)。
|
服务器操作系统 |
2014-07-17 |
| 5019 |
CVE-2014-4616 |
低等 |
Python是Python软件基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。simplejson是一个可扩展的JSON解码/编码器。_json module是其中的一个数据交换模块。
Python 2.7版本至3.5版本和simplejson 2.6.1之前的版本中的_json模块的‘scanstring’函数存在安全漏洞。本地攻击者可通过向‘raw_decode’函数发送带有负的指针值的‘idx’参数利用该漏洞读取任意的进程内存。
|
服务器操作系统 |
2014-06-26 |
| 5020 |
CVE-2014-7185 |
低等 |
Python是Python软件基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。Python 2.7.7及之前版本的bufferobject.c文件中存在整数溢出漏洞。攻击者可借助特制的‘buffer’函数利用该漏洞获取进程内存中的敏感信息。
|
服务器操作系统 |
2014-06-23 |
| 5021 |
CVE-2014-3153 |
重要 |
NFSv4 implementation是其中的一个分布式文件系统协议。Linux kernel 3.14.5及之前版本的kernel/futex.c文件中的‘futex_requeue’函数存在安全漏洞���,该漏洞源于程序没有正确处理futex系统调用。本地攻击者可借助特制的FUTEX_REQUEUE命令利用该漏洞获取特权。
|
服务器操作系统 |
2014-06-05 |
| 5022 |
CVE-2013-7040 |
低等 |
Python是Python软件基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。Python 3.4之前的2.7版本中存在安全漏洞���,该漏洞源于程序计算相同的哈希。攻击者可借助特制的请求利用该漏洞造成拒绝服务(CPU消耗)。
|
服务器操作系统 |
2014-05-19 |
| 5023 |
CVE-2014-9761 |
中等 |
GNU C Library(又名glibc���,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU C Library 2.23之前版本中存在基于栈的缓冲区溢出漏洞。攻击者可借助‘nan’���、‘nanf’或‘nanl’函数的较长的参数利用该漏洞造成拒绝服务(应用程序崩溃)���,或执行任意代码。
|
服务器操作系统 |
2014-05-19 |
| 5024 |
CVE-2014-9761 |
中等 |
GNU C Library(又名glibc���,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU C Library 2.23之前版本中存在基于栈的缓冲区溢出漏洞。攻击者可借助‘nan’���、‘nanf’或‘nanl’函数的较长的参数利用该漏洞造成拒绝服务(应用程序崩溃)���,或执行任意代码。
|
服务器操作系统 |
2014-05-19 |
| 5025 |
CVE-2014-0114 |
中等 |
Apache Struts是一套用于创建企业级Java Web应用的开源MVC框架���,主要提供两个版本框架产品���,Struts 1和Struts 2。
Apache Struts 1.x版本至1.3.10版本中的Apache Commons BeanUtils 1.9.2及之前版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
|
服务器操作系统 |
2014-04-30 |
