| 1291 |
CVE-2022-37436 |
中等 |
在Apache HTTP Server 2.4.55之前���,恶意后端会导致响应头被提前截断���,导致一些头被合并到响应体中。如果后面的头文件有任何安全目的���,客户端将不会解释它们。
|
服务器操作系统 |
2023-02-20 |
| 1292 |
CVE-2022-36760 |
严重 |
Apache HTTP Server的mod_proxy_ajp中的HTTP请求解释不一致(HTTP请求走私)漏洞允许攻击者将请求走私到其转发请求的AJP服务器。此问题影响Apache HTTP Server Apache HTTP Server 2.4版本2.4.54及以前的版本。
|
服务器操作系统 |
2023-02-20 |
| 1293 |
CVE-2022-3606 |
中等 |
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel 存在安全漏洞���,该漏洞源于错误操作导致空指针取消引用。
|
服务器操作系统 |
2023-02-20 |
| 1294 |
CVE-2023-25725 |
严重 |
2.7.3 之前的 HAProxy 可能允许绕过访问控制���,因为 HTTP/1 标头在某些情况下会无意中丢失���,也就是“请求走私”。HAProxy 中的 HTTP 标头解析器可以接受空的标头字段名称���,这可用于截断 HTTP 标头列表���,从而使某些标头在针对 HTTP/1.0 和 HTTP/1.1 进行解析和处理后消失。对于 HTTP/2 和 HTTP/3���,影响有限���,因为标头在解析和处理之前就消失了���,就好像它们不是由客户端发送的一样。固定版本为 2.7.3���、2.6.9���、2.5.12���、2.4.22���、2.2.29 和 2.0.31。
|
服务器操作系统 |
2023-02-17 |
| 1295 |
CVE-2022-4144 |
中等 |
在QEMU中的QXL显示设备仿真中发现了越界读取缺陷。qxl_phys2virt()函数不检查用户物理地址所指向的结构的大小���,可能会读取超出可访问空间末端的相邻页面。恶意用户可以使用此漏洞使主机上的QEMU进程崩溃���,从而导致拒绝服务条件。
|
服务器操作系统 |
2023-02-17 |
| 1296 |
CVE-2023-22458 |
中等 |
Redis 是一个内存中数据库���,它保留在磁盘上。经过身份验证的用户可以使用特制的参数发出“HRANDFIELD”或“ZRANDMEMBER”命令���,通过使 Redis 崩溃并导致断言失败来触发拒绝服务。此问题会影响 Redis 版本 6.2 或更高版本(但不包括 6.2.9)以及版本 7.0 (但不包括 7.0.8)。
|
服务器操作系统 |
2023-02-15 |
| 1297 |
CVE-2022-3977 |
中等 |
在Linux内核MCTP(管理组件传输协议)功能中发现释放后使用漏洞。当用户同时调用DROPTAG ioctl并发生套接字关闭时���,就会出现此问题���,这可能会导致本地用户崩溃系统或可能会提升他们在系统上的权限。
|
服务器操作系统 |
2023-02-14 |
| 1298 |
CVE-2023-0286 |
重要 |
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法���,包括对称密码���、哈希算法���、安全散列算法等。
OpenSSL存在安全漏洞���,该漏洞源于内存释放后重用。攻击者利用该漏洞导致程序崩溃���,系统拒绝服务。
|
服务器操作系统 |
2023-02-10 |
| 1299 |
CVE-2022-3080 |
重要 |
ISC BIND是美国ISC公司的一套实现了DNS协议的开源软件。ISC BIND 9.16.33之前版本���、9.18.7之前的9.18.x版本���、9.19.5之前的9.19.x版本存在安全漏洞���,该漏洞源于当启用陈旧缓存和陈旧答案时���,选项stale-answer-client-timeout设置为0���,并且缓存中存在用于传入查询的陈旧CNAME时���,解析器可能会崩溃。通过向解析器发送特定查询���,攻击者可以导致命名崩溃。
|
服务器操作系统 |
2023-02-10 |
| 1300 |
CVE-2022-2526 |
严重 |
该漏洞源于resolved-dns-stream.c 中的 on_stream_io() 函数和 dns_stream_complete() 函数未增加 DnsStream 对象的引用计数���,调用的其他函数和回调可以取消对DNSStream对象的引用���,从而导致在以后仍然使用引用时会出现释放后重用问题。
|
服务器操作系统 |
2023-02-09 |
| 1301 |
CVE-2022-2526 |
严重 |
该漏洞源于resolved-dns-stream.c 中的 on_stream_io() 函数和 dns_stream_complete() 函数未增加 DnsStream 对象的引用计数���,调用的其他函数和回调可以取消对DNSStream对象的引用���,从而导致在以后仍然使用引用时会出现释放后重用问题。
|
服务器操作系统 |
2023-02-09 |
| 1302 |
CVE-2021-33640 |
中等 |
libtar源码存在Use-After-Free漏洞���,在内存被释放后引用内存可能会导致程序崩溃。
|
服务器操作系统 |
2023-02-08 |
| 1303 |
CVE-2021-33621 |
中等 |
Ruby是松本行弘个人开发者的一种跨平台���、面向对象的动态类型编程语言。
Ruby 存在安全漏洞���,该漏洞源于 cgi gem 允许 HTTP 响应拆分。
|
服务器操作系统 |
2023-02-08 |
| 1304 |
CVE-2023-25136 |
中等 |
OpenSSH 服务器 (sshd) 9.1 在 options.kex_algorithms 处理期间引入了双重释放漏洞。这在 OpenSSH 9.2 中已修复。在默认配置中���,未经身份验证的攻击者可以触发双重释放;
|
服务器操作系统 |
2023-02-08 |
| 1305 |
CVE-2021-33640 |
中等 |
libtar源码存在Use-After-Free漏洞���,在内存被释放后引用内存可能会导致程序崩溃。
|
服务器操作系统 |
2023-02-08 |
