升級(jí)包下載:SP_003_n_upgrade_package_2021-04-12.zip
新增基線麒麟操作系統(tǒng)
優(yōu)化基線
更新插件
CVE-2021-0326 wpa_supplicant是一款跨平臺(tái)的WPA請(qǐng)求程序.該程序支持WEP、WPA和WPA2等. wpa_supplicant 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞可能使本地惡意應(yīng)用程序繞過用戶交互要求,以訪問其他權(quán)限.
CVE-2021-1844 Apple Safari是美國蘋果(Apple)公司的一款Web瀏覽器,是Mac OS X和iOS操作系統(tǒng)附帶的默認(rèn)瀏覽器. Safari 14.0.3 存在安全漏洞, Safari在處理攻擊者發(fā)送的惡意Web內(nèi)容時(shí)可能導(dǎo)致任意代碼執(zhí)行.
CVE-2021-2011 Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關(guān)系數(shù)據(jù)庫管理系統(tǒng). Oracle MySQL 的 MySQL Client 存在安全漏洞,該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者過多種協(xié)議進(jìn)行網(wǎng)絡(luò)訪問,從而危害MySQL客戶端.以下產(chǎn)品及版本受到影響:MySQL Client--C API--5.7.32 and prior, 8.0.22 and prior.
CVE-2021-20179 pki-core是一款為PKI操作提供API的庫. pki-core 存在安全漏洞,攻擊者可利用該漏洞可以反復(fù)更新相應(yīng)的證書,只要證書沒有被顯式撤銷.
CVE-2021-20205 DRC libjpeg-turbo是 DRC開源的一個(gè)應(yīng)用軟件.提供一個(gè)JPEG圖像編解碼器,它使用SIMD指令來加速x86,x86-64,Arm,PowerPC和MIPS系統(tǒng)上的基線JPEG壓縮和解壓縮,以及x86,x86-64和Arm系統(tǒng)上的漸進(jìn)JPEG壓縮. Libjpeg-turbo versions 2.0.91 and 2.0.90 存在安全漏洞,該漏洞源于在處理精心制作的GIF圖像時(shí)除以0造成的.
CVE-2021-20270 Red Hat Ansible Automation是 (Red Hat)開源的一個(gè)應(yīng)用軟件.提供一個(gè)自動(dòng)化基礎(chǔ)架構(gòu)的各個(gè)方面,從服務(wù)器和網(wǎng)絡(luò)設(shè)備到操作系統(tǒng),應(yīng)用程序和安全性. Red Hat Ansible Automation 存在安全漏洞,該漏洞源于無限循環(huán)可能導(dǎo)致DoS.
CVE-2021-20285 Fedora是Fedora社區(qū)的一套Linux操作系統(tǒng). Fedora 存在緩沖區(qū)錯(cuò)誤漏洞,攻擊者可利用該漏洞可以通過canPack()觸發(fā)內(nèi)存損壞,以觸發(fā)拒絕服務(wù),并可能運(yùn)行代碼.
CVE-2021-21252 jQuery是美國John Resig個(gè)人開發(fā)者的一套開源、跨瀏覽器的JavaScript庫.該庫簡(jiǎn)化了HTML與JavaScript之間的操作,并具有模塊化、插件擴(kuò)展等特點(diǎn). jQuery 1.19.3版本之前存在資源管理錯(cuò)誤漏洞,該漏洞源于jquery驗(yàn)證包含一個(gè)或多個(gè)正則表達(dá)式,這些正則表達(dá)式容易受到ReDoS(正則表達(dá)式拒絕服務(wù))的攻擊.
CVE-2021-21300 Microsoft Visual Studio是美國微軟(Microsoft)公司的一款開發(fā)工具套件系列產(chǎn)品,也是一個(gè)基本完整的開發(fā)工具集,它包括了整個(gè)軟件存活周期中所需要的大部分工具.Git for Visual Studio是其中的一個(gè)Git(分布式版本控制系統(tǒng))擴(kuò)展. Git for Visual Studio 存在安全漏洞.以下產(chǎn)品和版本受到影響:Microsoft Visual Studio 2017 version 15.9 (includes 15.0 - 15.8),Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3),Microsoft Visual Studio 2019 version 16.7 (includes 16.0 – 16.6),Microsoft Visual Studio 2019 version 16.9 (includes 16.0 - 16.8),Microsoft Visual Studio 2019 version 16.8 (includes 16.0 - 16.7).
CVE-2021-21330 aiohttp before version 3.7.4 存在安全漏洞,該漏洞源于一個(gè)開放的重定向漏洞.惡意制作的指向會(huì)將瀏覽器重定向到另一個(gè)網(wǎng)站.
CVE-2021-21334 containerd是美國阿帕奇(Apache)基金會(huì)的一個(gè)容器守護(hù)進(jìn)程.該進(jìn)程根據(jù) RunC OCI 規(guī)范負(fù)責(zé)控制宿主機(jī)上容器的完整周期.
containerd before versions 1.3.10 and 1.4.4 存在安全漏洞,該漏洞允許共享敏感信息.
CVE-2021-21340 TYPO3是瑞士TYPO3(Typo3)協(xié)會(huì)的一套免費(fèi)開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 Core 存在跨站腳本漏洞,該漏洞源于內(nèi)容預(yù)覽渲染器組件中對(duì)用戶提供的數(shù)據(jù)的處理不足.
CVE-2021-21358 TYPO3是瑞士TYPO3(Typo3)協(xié)會(huì)的一套免費(fèi)開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 存在跨站腳本漏洞,該漏洞源于表單設(shè)計(jì)器后端模塊中對(duì)用戶提供的數(shù)據(jù)的處理不足.
CVE-2021-21359 TYPO3是瑞士TYPO3(Typo3)協(xié)會(huì)的一套免費(fèi)開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 Core 存在安全漏洞,該漏洞允許遠(yuǎn)程攻擊者執(zhí)行拒絕服務(wù)(DoS)攻擊.
CVE-2021-21367 DanielForé switchboard-plug-bluetooth是 (DanielForé)開源的一個(gè)應(yīng)用軟件.一個(gè)配電盤藍(lán)牙插頭. Switchboard Bluetooth 存在安全漏洞,攻擊者很可能能夠未經(jīng)授權(quán)從此類服務(wù)中提取數(shù)據(jù).
CVE-2021-21370 TYPO3是瑞士TYPO3(Typo3)協(xié)會(huì)的一套免費(fèi)開源的內(nèi)容管理系統(tǒng)(框架)(CMS/CMF). TYPO3 Core 存在跨站腳本漏洞,該漏洞源于內(nèi)容預(yù)覽渲染器組件中對(duì)用戶提供的數(shù)據(jù)的處理不足.
CVE-2021-21379 Xwiki Platform是法國Xwiki公司的一套用于創(chuàng)建Web協(xié)作應(yīng)用程序的Wiki平臺(tái). XWiki Platform 存在注入漏洞,該漏洞源于wiki宏作者的權(quán)限執(zhí)行內(nèi)容,而不是以該wiki宏的調(diào)用者的權(quán)限執(zhí)行內(nèi)容.
CVE-2021-21380 Thomas Mortagne xwiki-platform是Thomas Mortagne開源的一個(gè)應(yīng)用程序.一個(gè)通用的Wiki平臺(tái),為基于其構(gòu)建的應(yīng)用程序提供運(yùn)行時(shí)服務(wù). XWiki Platform 存在SQL注入漏洞,該漏洞源于評(píng)級(jí)腳本服務(wù)公開一個(gè)API來執(zhí)行SQL請(qǐng)求,而不需要轉(zhuǎn)義搜索參數(shù).
CVE-2021-21381 Flatpak是一套用于Linux桌面應(yīng)用計(jì)算機(jī)環(huán)境的應(yīng)用程序虛擬化系統(tǒng). Flatpak 存在安全漏洞,攻擊者可利用該漏洞訪問應(yīng)用程序權(quán)限通常不允許的文件.
CVE-2021-21389 BuddyPress 7.2.1 存在安全漏洞,該漏洞源于非特權(quán)的普通用戶可以通過利用REST API成員端點(diǎn)中的問題獲得管理員權(quán)限.
CVE-2021-21438 OTRS是德國 (OTRS)公司的一個(gè)應(yīng)用軟件.一個(gè)服務(wù)管理軟件. OTRS 存在安全漏洞,該漏洞源于在沒有許可的情況下查看鏈接的FAQ文章.
CVE-2021-21772 Martin Weismann lib3mf是 Martin Weismann開源的一個(gè)應(yīng)用軟件.提供3MF讀寫功能,以及用于輸入和輸出數(shù)據(jù)的轉(zhuǎn)換和驗(yàn)證工具. 3MF Consortium lib3mf 2.0.0 存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞提交惡意文件.
CVE-2021-22134 Elasticsearch是荷蘭Elasticsearch公司的一套基于Lucene構(gòu)建的開源分布式RESTful搜索引擎.該產(chǎn)品主要應(yīng)用于云計(jì)算,并支持通過HTTP使用JSON進(jìn)行數(shù)據(jù)索引.Security是其中的一個(gè)數(shù)據(jù)保護(hù)組件. Elasticsearch 存在信息泄露漏洞,攻擊者可利用該漏洞可以通過Elasticsearch最近更新的文檔繞過對(duì)數(shù)據(jù)的訪問限制,以獲取敏感信息.
CVE-2021-22309 Huawei USG9500等都是中國華為(Huawei)公司的產(chǎn)品.USG9500是一款數(shù)據(jù)中心防火墻產(chǎn)品.Huawei USG9520是一款應(yīng)用于大型環(huán)境的防火墻設(shè)備.Huawei USG9560是一款應(yīng)用于大型環(huán)境的防火墻設(shè)備. 多款華為產(chǎn)品存在信息泄露漏洞.攻擊者通過暴力破解可獲得敏感信息,造成信息泄露.以下產(chǎn)品及型號(hào)受到影響:USG9500,Huawei USG9580,Huawei USG9560,Huawei USG9520
CVE-2021-22310 Huawei NIP6300等都是中國華為(Huawei)公司的產(chǎn)品.Huawei NIP6300是一款主要適用于企業(yè)、學(xué)校、運(yùn)行商、IDC的入侵防御系統(tǒng).Huawei NIP6600是一款主要適用于企業(yè)、學(xué)校、運(yùn)行商、IDC的入侵防御系統(tǒng).Huawei Secospace USG6300是一款防火墻設(shè)備. 多款華為產(chǎn)品存在信息泄露漏洞.該漏洞源于不合理設(shè)計(jì),在某個(gè)特殊異常場(chǎng)景下,服務(wù)器日志會(huì)打印出一些具體的不合理信息,存在可能導(dǎo)致信息泄露風(fēng)險(xiǎn).以下產(chǎn)品及型號(hào)受到影響:Huawei NIP6300,Huawei NIP6600,Huawei Secospace USG6300,Huawei Secospace USG6500,Huawei Secospace USG6600.
CVE-2021-22320 Huawei NGFW Module等都是中國華為(Huawei)公司的產(chǎn)品.NGFW Module是一款下一代防火墻(NGFW)模塊.USG6600是一款數(shù)據(jù)中防火墻產(chǎn)品.Secospace USG6600是一款下一代防火墻產(chǎn)品. Huawei 多款產(chǎn)品存在安全漏洞,該漏洞源于不能正確處理特定的消息.以下產(chǎn)品及版本受到影響:IPS Module, NGFW Module, NIP6600, NIP6800, Secospace USG6300, Secospace USG6500 and Secospace USG6600.
CVE-2021-22321 Huawei S2700等都是中國華為(Huawei)公司的產(chǎn)品.S2700是一款企業(yè)級(jí)交換機(jī)產(chǎn)品.USG9500是一款數(shù)據(jù)中心防火墻產(chǎn)品.USG6600是一款數(shù)據(jù)中防火墻產(chǎn)品. Huawei 多款產(chǎn)品存在安全漏洞,攻擊者可利用該漏洞執(zhí)行惡意操作,導(dǎo)致內(nèi)存閑置后使用,影響正常服務(wù).以下產(chǎn)品及版本收到影響:NIP6300, NIP6600, NIP6800, S1700, S2700, S5700, S6700 , S7700, S9700, Secospace USG6300, Secospace USG6500, Secospace USG6600 and USG9500.
CVE-2021-22880 PostgreSQL是Postgresql組織的一套自由的對(duì)象關(guān)系型數(shù)據(jù)庫管理系統(tǒng).該系統(tǒng)支持大部分SQL標(biāo)準(zhǔn)并且提供了許多其他特性,例如外鍵、觸發(fā)器、視圖等. PostgreSQL中存在資源管理錯(cuò)誤漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品對(duì)系統(tǒng)資源(如內(nèi)存、磁盤空間、文件等)的管理不當(dāng).
CVE-2021-23336 yed是Yworks的一款優(yōu)秀的繪圖軟件.該產(chǎn)品可以快速的根據(jù)數(shù)據(jù)生成高質(zhì)量圖表,并且可以通過模板算法根據(jù)數(shù)據(jù)自動(dòng)生成圖表.
cpython 存在環(huán)境問題漏洞,攻擊者可利用該漏洞可以使用分號(hào)(;)分隔查詢參數(shù),導(dǎo)致惡意請(qǐng)求被緩存為完全安全的請(qǐng)求.以下產(chǎn)品及版本受到影響:before 3.6.13, from 3.7.0 and before 3.7.10, from 3.8.0 and before 3.8.8, from 3.9.0 and before 3.9.2.
CVE-2021-23351 Pires go-proxyproto是 (Pires)開源的一個(gè)應(yīng)用軟件.提供一種安全的方式,可以跨NAT或TCP代理的多層安全地傳輸連接信息功能. github.com/pires/go-proxyproto before 0.5.0 存在安全漏洞,該漏洞源于在代碼中沒有實(shí)現(xiàn)限制,V1 header可以使用此代碼耗盡服務(wù)器進(jìn)程中的內(nèi)存,并創(chuàng)建一個(gè)DoS.
CVE-2021-23358 Npm underscore是美國Npm公司的一個(gè)應(yīng)用程序.一個(gè)JavaScript的實(shí)用程序帶庫,可為常見的可疑功能提供支持,而無需擴(kuò)展任何核心JavaScript對(duì)象. underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1存在安全漏洞,攻擊者可利用該漏洞容易通過模板函數(shù)執(zhí)行任意代碼.
CVE-2021-23980 Python Bleach是一款基于Python的HTML清理庫. Python Bleach 存在跨站腳本漏洞,攻擊者可利用該漏洞可以觸發(fā)跨站點(diǎn)腳本,以便在網(wǎng)站上下文中運(yùn)行JavaScript代碼.
CVE-2021-24130 Wordpress WP Google Map是 (Wordpress)開源的一個(gè)應(yīng)用插件.提供一個(gè)將自定義的Google地圖或商店定位器快速輕松地添加到WordPress帖子和,或頁面中功能. WordPress WP Google Map plugin before 4.1.5 存在SQL注入漏洞,該漏洞源于插件設(shè)置的管理位置頁面中,容易受到高級(jí)特權(quán)用戶(admin+) SQL注入的攻擊.
CVE-2021-24131 Wordpress CleanTalk是 (Wordpress)開源的一個(gè)應(yīng)用插件.提供一個(gè)免費(fèi)的反垃圾郵件插件,可與高級(jí)Cloud AntiSpam服務(wù)cleantalk.org一起使用. Anti-Spam by CleanTalk WordPress plugin before 5.149 存在SQL注入漏洞,該漏洞源于反垃圾郵件中輸入未經(jīng)驗(yàn)證的信息,導(dǎo)致多個(gè)經(jīng)過驗(yàn)證的SQL注入漏洞.
CVE-2021-24139 Wordpress Photo Gallery是 (Wordpress)開源的一個(gè)應(yīng)用插件.提供一個(gè)將響應(yīng)式畫廊和相冊(cè)添加到的網(wǎng)站功能. WordPress Photo Gallery plugin 存在SQL注入漏洞,該漏洞源于frontend/models/model.php bwg_search_x參數(shù).
CVE-2021-24142 Wordpress Easy Redirect Manager是 (Wordpress)開源的一個(gè)應(yīng)用插件.提供一個(gè)管理和創(chuàng)建WordPress網(wǎng)站的301、302、307重定向,以改善SEO和訪客體驗(yàn)功能. Easy Redirect Manager WordPress plugin before 2.51存在SQL注入漏洞,該漏洞允許高特權(quán)用戶執(zhí)行SQL注入.
CVE-2021-24144 Wordpress Contact Form 7 Database Addon是 (Wordpress)開源的一個(gè)應(yīng)用插件.該插件用來將聯(lián)系表7提交內(nèi)容保存到您的WordPress數(shù)據(jù)庫中.
Contact Form 7 Database Addon plugin before 1.2.5.6 存在注入漏洞,遠(yuǎn)程攻擊者可利用該漏洞可以將任意公式注入CSV文件中.
CVE-2021-25920 OpenEMR是OpenEMR(Openemr)社區(qū)的一套開源的醫(yī)療管理系統(tǒng).該系統(tǒng)可用于醫(yī)療實(shí)踐管理、電子醫(yī)療記錄、處方書寫和醫(yī)療帳單申請(qǐng). OpenEMR versions v2.7.2-rc1 to 6.0.0 存在安全漏洞,該漏洞源于創(chuàng)建新用戶時(shí)容易受到不當(dāng)?shù)脑L問控制,從而導(dǎo)致惡意用戶能夠代表受害用戶讀取和發(fā)送敏感消息.
CVE-2021-25921 OpenEMR是OpenEMR(Openemr)社區(qū)的一套開源的醫(yī)療管理系統(tǒng).該系統(tǒng)可用于醫(yī)療實(shí)踐管理、電子醫(yī)療記錄、處方書寫和醫(yī)療帳單申請(qǐng). OpenEMR 2.7.3-rc1 to 6.0.0 存在安全漏洞,該漏洞源于在“Allergies”一節(jié)中沒有正確驗(yàn)證用戶輸入.攻擊者可利用該漏洞可以引誘管理員輸入惡意有效負(fù)載,從而發(fā)起攻擊.
CVE-2021-25922 OpenEMR是OpenEMR(Openemr)社區(qū)的一套開源的醫(yī)療管理系統(tǒng).該系統(tǒng)可用于醫(yī)療實(shí)踐管理、電子醫(yī)療記錄、處方書寫和醫(yī)療帳單申請(qǐng). OpenEMR versions 4.2.0 to 6.0.0 存在跨站腳本漏洞,該漏洞源于用戶輸入沒有得到正確的驗(yàn)證.
CVE-2021-26701 Microsoft .NET Core是美國微軟(Microsoft)公司的一套免費(fèi)的開源開發(fā)平臺(tái).該平臺(tái)具有多語言支持和跨平臺(tái)等特點(diǎn). Microsoft .NET Core 中存在安全漏洞.以下產(chǎn)品和版本受到影響:.NET Core 2.1,.NET Core 3.1,.NET 5.0.
CVE-2021-27055 Microsoft Office是美國微軟(Microsoft)公司的一款辦公軟件套件產(chǎn)品.該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等. Microsoft Visio 存在安全漏洞.以下產(chǎn)品和版本受到影響:Microsoft Office 2019 for 32-bit editions,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft Office 2019 for 64-bit editions,Microsoft Visio 2013 Service Pack 1 (32-bit editions),Microsoft Visio 2013 Service Pack 1 (64-bit editions),Microsoft Visio 2016 (32-bit edition),Microsoft Visio 2016 (64-bit edition),Microsoft Visio 2010 Service Pack 2 (32-bit editions),Microsoft Visio 2010 Service Pack 2 (64-bit editions).
CVE-2021-27056 Microsoft Office PowerPoint是美國微軟(Microsoft)公司的一個(gè)用于制作、演示文稿(PPT)的軟件. Microsoft PowerPoint 存在安全漏洞.以下產(chǎn)品和版本受到影響:Microsoft PowerPoint 2013 Service Pack 1 (64-bit editions),Microsoft PowerPoint 2013 RT Service Pack 1,Microsoft PowerPoint 2016 (32-bit edition),Microsoft PowerPoint 2016 (64-bit edition),Microsoft PowerPoint 2010 Service Pack 2 (32-bit editions),Microsoft PowerPoint 2010 Service Pack 2 (64-bit editions),Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft PowerPoint 2013 Service Pack 1 (32-bit editions).
CVE-2021-27291 Matth?us G. Chajdas pygments是 (Matth?us G. Chajdas)開源的一個(gè)應(yīng)用軟件.提供通用語法突出顯示工具功能. pygments 1.1+ 存在安全漏洞,攻擊者可利用該漏洞可以導(dǎo)致拒絕服務(wù).
CVE-2021-27358 Grafana是Grafana實(shí)驗(yàn)室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana before 7.4.1 存在安全漏洞,該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過遠(yuǎn)程API調(diào)用觸發(fā)拒絕服務(wù).
CVE-2021-27576 Apache OpenMeetings是美國阿帕奇(Apache)基金會(huì)的一套多語言可定制的視頻會(huì)議和協(xié)作系統(tǒng).該產(chǎn)品支持音頻、視頻并允許用戶查看每個(gè)與會(huì)者的桌面等. Apache OpenMeetings 6.0.0 存在安全漏洞,該漏洞源于netttest web服務(wù)可用于超載服務(wù)器的帶寬.
CVE-2021-27645 GNU C Library(glibc,libc6)是一種按照LGPL許可協(xié)議發(fā)布的開源免費(fèi)的C語言編譯程序. GNU C Library (aka glibc or libc6) 2.29 through 2.33 存在資源管理錯(cuò)誤漏洞,該漏洞源于緩存守護(hù)進(jìn)程(nscd)在處理網(wǎng)絡(luò)組查找請(qǐng)求時(shí),可能會(huì)由于雙free而崩潰.
CVE-2021-27803 wpa_supplicant是一款跨平臺(tái)的WPA請(qǐng)求程序.該程序支持WEP、WPA和WPA2等. wpa_supplicant before 2.10 存在安全漏洞,攻擊者可利用該漏洞可能執(zhí)行任意代碼.
CVE-2021-27928 MariaDB是MariaDB(Mariadb)基金會(huì)的一套免費(fèi)開源的數(shù)據(jù)庫管理系統(tǒng),也是一個(gè)采用Maria存儲(chǔ)引擎的MySQL分支版本. MariaDB 10.2 before 10.2.37, 10.3 before 10.3.28, 10.4 before 10.4.18, and 10.5 before 10.5.9 存在安全漏洞,不受信任的搜索路徑會(huì)導(dǎo)致eval注入.
CVE-2021-27962 Grafana是Grafana實(shí)驗(yàn)室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana Enterprise 存在安全漏洞,該漏洞源于具有Editor角色的用戶可以繞過組織默認(rèn)數(shù)據(jù)源的數(shù)據(jù)源權(quán)限.
CVE-2021-28041 OpenSSH(OpenBSD Secure Shell)是Openbsd計(jì)劃組的一套用于安全訪問遠(yuǎn)程計(jì)算機(jī)的連接工具.該工具是SSH協(xié)議的開源實(shí)現(xiàn),支持對(duì)所有的傳輸進(jìn)行加密,可有效阻止竊聽、連接劫持以及其他網(wǎng)絡(luò)級(jí)的攻擊. OpenSSH before 8.5 存在安全漏洞,攻擊者可利用該漏洞在遺留操作系統(tǒng)上不受約束的代理套接字訪問.
CVE-2021-28116 Squid是一套代理服務(wù)器和Web緩存服務(wù)器軟件.該軟件提供緩存萬維網(wǎng)、過濾流量、代理上網(wǎng)等功能. Squid through 4.14 and 5.x through 5.0.5 存在安全漏洞,該漏洞源于WCCP協(xié)議數(shù)據(jù)的越界讀取.
CVE-2021-28117 KDE Discover是 (KDE)社區(qū)的一個(gè)應(yīng)用程序.提供一個(gè)幫助查找和安裝應(yīng)用程序,游戲和工具的功能. KDE Discover before 5.21.3 存在安全漏洞,該漏洞源于KNSResource.cpp會(huì)根據(jù)store.kde.org網(wǎng)站的內(nèi)容自動(dòng)創(chuàng)建指向潛在危險(xiǎn)url.
CVE-2021-28133 ZOOM Zoom Client是美國Zoom(ZOOM)公司的一款支持多種平臺(tái)的視頻會(huì)議客戶端應(yīng)用程序. Zoom through 5.5.4 存在安全漏洞,該漏洞源于允許攻擊者可利用該漏洞讀取參與者屏幕上的私人信息.
CVE-2021-28146 Grafana是Grafana實(shí)驗(yàn)室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana 存在安全漏洞,該漏洞源于允許通過外部組繞過授權(quán).
CVE-2021-28147 Grafana是Grafana實(shí)驗(yàn)室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana Enterprise 存在安全漏洞,該漏洞允許通過外部組繞過訪問限制.
CVE-2021-28148 Grafana是Grafana實(shí)驗(yàn)室的一套提供可視化監(jiān)控界面的開源監(jiān)控工具.該工具主要用于監(jiān)控和分析Graphite、InfluxDB和Prometheus等. Grafana 存在安全漏洞,該漏洞源于任何未經(jīng)身份驗(yàn)證的用戶都可以使用觀察的HTTP API端點(diǎn)向該端點(diǎn)發(fā)送無限數(shù)量的請(qǐng)求,從而導(dǎo)致拒絕服務(wù).
CVE-2021-28153 GNOME Glib是一套用于創(chuàng)建圖形用戶界面的多平臺(tái)工具包,是GTK+和GNOME工程的基礎(chǔ)底層核心程序庫. GNOME GLib before 2.66.8 存在安全漏洞,改漏洞源于g_file_replace與G_FILE_CREATE_REPLACE_DESTINATION錯(cuò)誤地還將符號(hào)鏈接的目標(biāo)創(chuàng)建為空文件.
CVE-2021-28375 Linux kernel是美國Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核. Linux kernel through 5.11.6 存在安全漏洞,該漏洞源于fastrpc.c不阻止用戶應(yīng)用程序發(fā)送內(nèi)核RPC消息.
CVE-2021-28378 Gitea是Gitea社區(qū)的一個(gè)基于Go開發(fā)的輕量型git服務(wù). Gitea 1.12.x and 1.13.x before 1.13.4 存在安全漏洞,該漏洞允許在某些情況下通過特定的問題數(shù)據(jù)進(jìn)行XSS.
CVE-2021-28543 Martin Blix Grydeland varnish-modules是 (Martin Blix Grydeland)開源的一個(gè)應(yīng)用軟件.用于描述具有其他功能的HTTP請(qǐng)求/響應(yīng)策略. varnish-modules 存在安全漏洞,該漏洞允許遠(yuǎn)程攻擊者在某些配置中導(dǎo)致拒絕服務(wù)(守護(hù)進(jìn)程重啟).
CVE-2021-28687 Xen是英國劍橋(Cambridge)大學(xué)的一款開源的虛擬機(jī)監(jiān)視器產(chǎn)品.該產(chǎn)品能夠使不同和不兼容的操作系統(tǒng)運(yùn)行在同一臺(tái)計(jì)算機(jī)上,并支持在運(yùn)行時(shí)進(jìn)行遷移,保證正常運(yùn)行并且避免宕機(jī). Xen 存在安全漏洞,攻擊者可利用該漏洞軟復(fù)位管理守護(hù)進(jìn)程觸發(fā)致命錯(cuò)誤.
CVE-2021-28831 BusyBox是烏克蘭Denis Vlasenko個(gè)人開發(fā)者的一套包含了多個(gè)linux命令和工具的應(yīng)用程序. BusyBox through 1.32.1 存在安全漏洞,該漏洞源于錯(cuò)誤地處理huft構(gòu)建結(jié)果指針上的錯(cuò)誤位,通過畸形的gzip數(shù)據(jù)導(dǎo)致無效的自由或分段錯(cuò)誤.
CVE-2021-28834 Thomas Leitner kramdown是 (Thomas Leitner)開源的一個(gè)應(yīng)用程序.提供一個(gè)快速的純Ruby Markdown超集轉(zhuǎn)換器,使用嚴(yán)格的語法定義并支持幾個(gè)常用擴(kuò)展. Kramdown before 2.3.1 存在安全漏洞,該漏洞源于Kramdown沒有將Rouge格式化器限制為Rouge:: formatters名稱空間.
CVE-2021-28935 CMS Made Simple(CMSMS)是CMSMS(Cmsms)團(tuán)隊(duì)的一套開源的內(nèi)容管理系統(tǒng)(CMS).該系統(tǒng)支持基于角色的權(quán)限管理系統(tǒng)、基于向?qū)У陌惭b與更新機(jī)制、智能緩存機(jī)制等.
CMS Made Simple (CMSMS) 2.2.15 存在跨站腳本漏洞,該漏洞允許通過admin addbookmark.php腳本通過站點(diǎn)admin >我的首選項(xiàng)>標(biāo)題字段驗(yàn)證XSS.
CVE-2021-28957 Lxml是Lxml個(gè)人開發(fā)者的一個(gè)可與Python交互用于定位Html中元素的軟件. lxml 4.6.2 存在跨站腳本漏洞,該漏洞源于HTML5的formaction屬性.
CVE-2021-3137 Xwiki Platform是法國Xwiki公司的一套用于創(chuàng)建Web協(xié)作應(yīng)用程序的Wiki平臺(tái). XWiki 12.10.2 存在跨站腳本漏洞,該漏洞源于WEB應(yīng)用缺少對(duì)客戶端數(shù)據(jù)的正確驗(yàn)證.攻擊者可利用該漏洞執(zhí)行客戶端代碼.
CVE-2021-3138 Discourse是一套開源的社區(qū)討論平臺(tái).該平臺(tái)包括社區(qū)、電子郵件和聊天室等功能. Discourse 2.7.0 through beta1 存在安全漏洞,該漏洞源于2FA依賴于certain forms rate-limit.
CVE-2021-3156 Sudo是一款使用于類Unix系統(tǒng)的,允許用戶通過安全的方式使用特殊的權(quán)限執(zhí)行命令的程序. Sudo before 1.9.5p2 存在緩沖區(qū)錯(cuò)誤漏洞,攻擊者可使用sudoedit -s和一個(gè)以單個(gè)反斜杠字符結(jié)束的命令行參數(shù)升級(jí)到root.
CVE-2021-3181 Mutt是Michael Elkins個(gè)人開發(fā)者的一款用于類Unix系統(tǒng)下且基于文本的郵件客戶端. Mutt through 2.0.4 存在安全漏洞,攻擊者可利用該漏洞使用一個(gè)小的電子郵件消息導(dǎo)致大量?jī)?nèi)存消耗,并且受害者可能無法看到來自其他人的電子郵件消息.
CVE-2021-3405 Matroska libebml是GlobalMatroska開源的一個(gè)應(yīng)用程序提供用于讀取和寫入Matroska文件的低級(jí)C ++庫 libebml before 1.4.2 存在安全漏洞,該漏洞源于libebml中EbmlString::ReadData和EbmlUnicodeString::ReadData的實(shí)現(xiàn)中存在一個(gè)堆溢出bug.
CVE-2021-3406 CNCF Keylime是 CNCF開源的一個(gè)應(yīng)用軟件.提供高度可擴(kuò)展的遠(yuǎn)程啟動(dòng)證明和運(yùn)行時(shí)完整性測(cè)量解決方案. keylime 5.8.1 and older 存在安全漏洞,該漏洞源于代理認(rèn)證的信任密碼鏈?zhǔn)?
CVE-2021-3407 artifex mupdf是個(gè)人開發(fā)者的一款富文本編輯器.富文本編輯器不同于文本編輯器,程序員可到網(wǎng)上下載免費(fèi)的富文本編輯器內(nèi)嵌于自己的網(wǎng)站或程序里(當(dāng)然付費(fèi)的功能會(huì)更強(qiáng)大些),方便用戶編輯文章或信息. mupdf 1.18.0 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞源于Double free object可能會(huì)導(dǎo)致內(nèi)存損壞.
CVE-2021-3410 libcaca是開源的一個(gè)軟件庫.可將圖像轉(zhuǎn)換為彩色ASCII藝術(shù)品. libcaca v0.99.beta19 存在緩沖區(qū)錯(cuò)誤漏洞,該漏洞源于libcaca caca canvas.c中的caca resize函數(shù)中的緩沖區(qū)溢出問題可能導(dǎo)致在用戶上下文中執(zhí)行任意代碼.
CVE-2021-3420 Red Hat newlib libc是美國紅帽(Red Hat)公司的一款主要用于嵌入式系統(tǒng)的C語言庫. newlib in versions prior to 4.0.0 存在安全漏洞,該漏洞源于內(nèi)存分配函數(shù)mEMALIGn, pvALLOc, nano_memalign, nano_valloc, nano_pvalloc不當(dāng)?shù)囊绯鲵?yàn)證可能導(dǎo)致整數(shù)溢出,導(dǎo)致分配一個(gè)小緩沖區(qū),然后導(dǎo)致基于堆的緩沖區(qū)溢出.
CVE-2021-3429 debian(Debian GUN/Linux)是Debian Project的一個(gè)Linux操作系統(tǒng).該系統(tǒng)擁有更快更容易的內(nèi)存管理、開源軟件的支持、良好的系統(tǒng)安全、較高的穩(wěn)定性. Debian 存在安全漏洞,攻擊者可利用該漏洞可以通過非散列生成的cloud-init密碼繞過限制,以升級(jí)他的特權(quán).
CVE-2021-3443 JasPer是Michael Adams個(gè)人開發(fā)者的一個(gè)基于C的用于處理圖像的工具.該軟件支持ISO / IEC 15444-1中定義的JPEG-2000格式,主要用于圖像的編碼和處理. Jasper 存在代碼問題漏洞,攻擊者可利用該漏洞可以通過jp2_decode()強(qiáng)制空指針被解引用,從而觸發(fā)拒絕服務(wù).
CVE-2021-3446 Archlinux libtpms是 Archlinux開源的一個(gè)應(yīng)用程序.提供可信任平臺(tái)模塊(TPM 1.2和TPM 2.0)的軟件仿真的庫. libtpms in versions before 0.8.2 存在加密問題漏洞,該漏洞源于沒有返回最后一個(gè)初始化向量,而是返回了初始的初始化向量給調(diào)用者,從而削弱了后續(xù)的加密和解密步驟.
CVE-2021-3449 OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對(duì)稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在代碼問題漏洞,該漏洞導(dǎo)致空指針解引用,導(dǎo)致崩潰和拒絕服務(wù)攻擊.
CVE-2021-3450 OpenSSL是Openssl團(tuán)隊(duì)的一個(gè)開源的能夠?qū)崿F(xiàn)安全套接層(SSLv2/v3)和安全傳輸層(TLSv1)協(xié)議的通用加密庫.該產(chǎn)品支持多種加密算法,包括對(duì)稱密碼、哈希算法、安全散列算法等. OpenSSL 1.1.1h-1.1.1j 存在安全漏洞,該漏洞允許繞過ca證書檢查.
CVE-2021-3467 JasPer是Michael Adams個(gè)人開發(fā)者的一個(gè)基于C的用于處理圖像的工具.該軟件支持ISO / IEC 15444-1中定義的JPEG-2000格式,主要用于圖像的編碼和處理. Jasper versions before 2.0.26 存在代碼問題漏洞,該漏洞源于一個(gè)空指針解引用.一個(gè)特別制作的JP2圖像文件可能會(huì)導(dǎo)致應(yīng)用程序在打開時(shí)崩潰.