| 5086 |
CVE-2014-0118 |
中等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。mod_deflate是其中的一个压缩模块。Apache HTTP Server 2.4.1至2.4.9版本的mod_deflate模块的mod_deflate.c文件中的‘deflate_in_filter’函数存在安全漏洞。程序配置‘request body decompression’时���,远程攻击者可通过发送特制的请求数据利用该漏洞造成拒绝服务(资源消耗)。
|
服务器操作系统 |
2014-07-17 |
| 5087 |
CVE-2014-4616 |
低等 |
Python是Python软件基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。simplejson是一个可扩展的JSON解码/编码器。_json module是其中的一个数据交换模块。
Python 2.7版本至3.5版本和simplejson 2.6.1之前的版本中的_json模块的‘scanstring’函数存在安全漏洞。本地攻击者可通过向‘raw_decode’函数发送带有负的指针值的‘idx’参数利用该漏洞读取任意的进程内存。
|
服务器操作系统 |
2014-06-26 |
| 5088 |
CVE-2014-7185 |
低等 |
Python是Python软件基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。Python 2.7.7及之前版本的bufferobject.c文件中存在整数溢出漏洞。攻击者可借助特制的‘buffer’函数利用该漏洞获取进程内存中的敏感信息。
|
服务器操作系统 |
2014-06-23 |
| 5089 |
CVE-2014-3153 |
重要 |
NFSv4 implementation是其中的一个分布式文件系统协议。Linux kernel 3.14.5及之前版本的kernel/futex.c文件中的‘futex_requeue’函数存在安全漏洞���,该漏洞源于程序没有正确处理futex系统调用。本地攻击者可借助特制的FUTEX_REQUEUE命令利用该漏洞获取特权。
|
服务器操作系统 |
2014-06-05 |
| 5090 |
CVE-2013-7040 |
低等 |
Python是Python软件基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。Python 3.4之前的2.7版本中存在安全漏洞���,该漏洞源于程序计算相同的哈希。攻击者可借助特制的请求利用该漏洞造成拒绝服务(CPU消耗)。
|
服务器操作系统 |
2014-05-19 |
| 5091 |
CVE-2014-9761 |
中等 |
GNU C Library(又名glibc���,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU C Library 2.23之前版本中存在基于栈的缓冲区溢出漏洞。攻击者可借助‘nan’���、‘nanf’或‘nanl’函数的较长的参数利用该漏洞造成拒绝服务(应用程序崩溃)���,或执行任意代码。
|
服务器操作系统 |
2014-05-19 |
| 5092 |
CVE-2014-9761 |
中等 |
GNU C Library(又名glibc���,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序。GNU C Library 2.23之前版本中存在基于栈的缓冲区溢出漏洞。攻击者可借助‘nan’���、‘nanf’或‘nanl’函数的较长的参数利用该漏洞造成拒绝服务(应用程序崩溃)���,或执行任意代码。
|
服务器操作系统 |
2014-05-19 |
| 5093 |
CVE-2014-0114 |
中等 |
Apache Struts是一套用于创建企业级Java Web应用的开源MVC框架���,主要提供两个版本框架产品���,Struts 1和Struts 2。
Apache Struts 1.x版本至1.3.10版本中的Apache Commons BeanUtils 1.9.2及之前版本中存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
|
服务器操作系统 |
2014-04-30 |
| 5094 |
CVE-2014-0384 |
低等 |
Oracle MySQL 5.5.35及之前的版本和5.6.15及之前的版本的MySQL Server组件中的XML子组件存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务���,影响数据的可用性。
|
服务器操作系统 |
2014-04-15 |
| 5095 |
CVE-2014-0160 |
重要 |
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库���,它支持多种加密算法���,包括对称密码���、哈希算法���、安全散列算法等。OpenSSL的TLS和DTLS实现过程中的d1_both.c和t1_lib.c文件中存在安全漏洞���,该漏洞源于当处理Heartbeat Extension数据包时���,缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(如用户名���、密码���、Cookie���、私钥等)。以下版本的OpenSSL受到影响���:1.0.1���,1.0.1���:beta1���,1.0.1���:beta2���,1.0.1���:beta3���,1.0.1a���,1.0.1b���,1.0.1c���,1.0.1d���,1.0.1e���,1.0.1f。目前OpenSSL官方已经发布补丁���,用户可以通过升级修复漏洞���,或者使用-DOPENSSL_NO_HEARTBEATS参数重新编译受影响版本的OpenSSL以禁用Heartbeat模块。
|
服务器操作系统 |
2014-04-07 |
| 5096 |
CVE-2014-0055 |
中等 |
kernel程序包中的vhost-net子系统的drivers/vhost/net.c文件中的‘get_rx_bufs’函数存在安全漏洞���,该漏洞源于程序没有正确处理vhost_get_vq_desc函数的错误。虚拟机端的攻击者可利用该漏洞造成拒绝服务(主机系统崩溃)。
|
服务器操作系统 |
2014-03-26 |
| 5097 |
CVE-2014-0132 |
重要 |
389 Directory Server一款企业级的Linux目录服务器。该服务器完全支持LDAPv3规范���,具有可扩展���、多主复制等特点。389 Directory Server 1.2.11.25及之前版本中的SASL授权功能中存在安全漏洞。远程攻击者可借助SASL/GSSAPI绑定中的‘authzid’参数利用该漏洞作为任意用户连接���,获取特权。
|
服务器操作系统 |
2014-03-13 |
| 5098 |
CVE-2014-0098 |
低等 |
Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。该服务器具有快速���、可靠且可通过简单的API进行扩充的特点。Apache HTTP Server 2.4.7及之前版本的mod_log_config模块中的mod_log_config.c文件的‘log_cookie’函数存在拒绝服务漏洞。远程攻击者可借助特制的cookie利用该漏洞造成拒绝服务(段错误和守护进程崩溃)。
|
服务器操作系统 |
2014-03-07 |
| 5099 |
CVE-2013-6458 |
中等 |
libvirt是一个用于实现Linux虚拟化功能的Linux API���,它支持各种Hypervisor���,包括Xen和KVM���,以及QEMU和用于其他操作系统的一些虚拟产品。libvirt 1.2.1之前版本中的virDomainBlockStats���、virDomainGetBlockInf���、qemuDomainBlockJobImpl以及virDomainGetBlockIoTune函数中存在多个竞争条件漏洞���,该漏洞源于程序没有正确地检验是否连接磁盘。具有只读权限的远程攻击者可借助virDomainDetachDeviceFlags命令利用该漏洞导致拒绝服务(libvirtd崩溃)。
|
服务器操作系统 |
2013-12-13 |
| 5100 |
CVE-2013-4485 |
重要 |
389 Directory Server是一款企业级的Linux目录服务器。该服务器完全支持LDAPv3规范���,具有可扩展���、多主复制等特点。389 Directory Server 8.2及之前的版本中存在安全漏洞���,该漏洞源于程序没有正确处理GER(Get Effective Rights)搜索请求。远程经过授权的攻击者可借包含多个属性名(包含‘@’字符)的搜索请求���,利用该漏洞造成拒绝服务(服务器崩溃)。
|
服务器操作系统 |
2013-11-21 |
