CVE编号 | 安全级别 | 描述 | 系统类型 | 发布时间 | |
---|---|---|---|---|---|
1291 | CVE-2022-37436 | 中等 |
在Apache HTTP Server 2.4.55之前,恶意后端会导致响应头被提前截断,导致一些头被合并到响应体中。如果后面的头文件有任何安全目的,客户端将不会解释它们。
|
服务器操作系统 | 2023-02-20 |
1292 | CVE-2022-36760 | 严重 |
Apache HTTP Server的mod_proxy_ajp中的HTTP请求解释不一致(HTTP请求走私)漏洞允许攻击者将请求走私到其转发请求的AJP服务器。此问题影响Apache HTTP Server Apache HTTP Server 2.4版本2.4.54及以前的版本。
|
服务器操作系统 | 2023-02-20 |
1293 | CVE-2022-3606 | 中等 |
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel 存在安全漏洞,该漏洞源于错误操作导致空指针取消引用。
|
服务器操作系统 | 2023-02-20 |
1294 | CVE-2023-25725 | 严重 |
2.7.3 之前的 HAProxy 可能允许绕过访问控制,因为 HTTP/1 标头在某些情况下会无意中丢失,也就是“请求走私”。HAProxy 中的 HTTP 标头解析器可以接受空的标头字段名称,这可用于截断 HTTP 标头列表,从而使某些标头在针对 HTTP/1.0 和 HTTP/1.1 进行解析和处理后消失。对于 HTTP/2 和 HTTP/3,影响有限,因为标头在解析和处理之前就消失了,就好像它们不是由客户端发送的一样。固定版本为 2.7.3、2.6.9、2.5.12、2.4.22、2.2.29 和 2.0.31。
|
服务器操作系统 | 2023-02-17 |
1295 | CVE-2022-4144 | 中等 |
在QEMU中的QXL显示设备仿真中发现了越界读取缺陷。qxl_phys2virt()函数不检查用户物理地址所指向的结构的大小,可能会读取超出可访问空间末端的相邻页面。恶意用户可以使用此漏洞使主机上的QEMU进程崩溃,从而导致拒绝服务条件。
|
服务器操作系统 | 2023-02-17 |
1296 | CVE-2023-22458 | 中等 |
Redis 是一个内存中数据库,它保留在磁盘上。经过身份验证的用户可以使用特制的参数发出“HRANDFIELD”或“ZRANDMEMBER”命令,通过使 Redis 崩溃并导致断言失败来触发拒绝服务。此问题会影响 Redis 版本 6.2 或更高版本(但不包括 6.2.9)以及版本 7.0 (但不包括 7.0.8)。
|
服务器操作系统 | 2023-02-15 |
1297 | CVE-2022-3977 | 中等 |
在Linux内核MCTP(管理组件传输协议)功能中发现释放后使用漏洞。当用户同时调用DROPTAG ioctl并发生套接字关闭时,就会出现此问题,这可能会导致本地用户崩溃系统或可能会提升他们在系统上的权限。
|
服务器操作系统 | 2023-02-14 |
1298 | CVE-2023-0286 | 重要 |
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL存在安全漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞导致程序崩溃,系统拒绝服务。
|
服务器操作系统 | 2023-02-10 |
1299 | CVE-2022-3080 | 重要 |
ISC BIND是美国ISC公司的一套实现了DNS协议的开源软件。ISC BIND 9.16.33之前版本、9.18.7之前的9.18.x版本、9.19.5之前的9.19.x版本存在安全漏洞,该漏洞源于当启用陈旧缓存和陈旧答案时,选项stale-answer-client-timeout设置为0,并且缓存中存在用于传入查询的陈旧CNAME时,解析器可能会崩溃。通过向解析器发送特定查询,攻击者可以导致命名崩溃。
|
服务器操作系统 | 2023-02-10 |
1300 | CVE-2022-2526 | 严重 |
该漏洞源于resolved-dns-stream.c 中的 on_stream_io() 函数和 dns_stream_complete() 函数未增加 DnsStream 对象的引用计数,调用的其他函数和回调可以取消对DNSStream对象的引用,从而导致在以后仍然使用引用时会出现释放后重用问题。
|
服务器操作系统 | 2023-02-09 |
1301 | CVE-2022-2526 | 严重 |
该漏洞源于resolved-dns-stream.c 中的 on_stream_io() 函数和 dns_stream_complete() 函数未增加 DnsStream 对象的引用计数,调用的其他函数和回调可以取消对DNSStream对象的引用,从而导致在以后仍然使用引用时会出现释放后重用问题。
|
服务器操作系统 | 2023-02-09 |
1302 | CVE-2021-33640 | 中等 |
libtar源码存在Use-After-Free漏洞,在内存被释放后引用内存可能会导致程序崩溃。
|
服务器操作系统 | 2023-02-08 |
1303 | CVE-2021-33621 | 中等 |
Ruby是松本行弘个人开发者的一种跨平台、面向对象的动态类型编程语言。
Ruby 存在安全漏洞,该漏洞源于 cgi gem 允许 HTTP 响应拆分。
|
服务器操作系统 | 2023-02-08 |
1304 | CVE-2023-25136 | 中等 |
OpenSSH 服务器 (sshd) 9.1 在 options.kex_algorithms 处理期间引入了双重释放漏洞。这在 OpenSSH 9.2 中已修复。在默认配置中,未经身份验证的攻击者可以触发双重释放;
|
服务器操作系统 | 2023-02-08 |
1305 | CVE-2021-33640 | 中等 |
libtar源码存在Use-After-Free漏洞,在内存被释放后引用内存可能会导致程序崩溃。
|
服务器操作系统 | 2023-02-08 |