cve

为保障客户的安全，在完成调查并提供修补程式或更新版本之前，Apple 将不会披露、讨论或确认安全性问题。最近更新版本已列于 Apple 安全性更新网页。 Apple 安全性文件会尽可能以 CVE-ID 参照安全漏洞

CVE-2014-3120后，ElasticSearch默认的动态脚本语言换成了Groovy，并增加了沙盒，但默认仍然支持直接执行动态语言。本漏洞：1.是一个沙盒绕过； 2.是一个Goovy代码执行漏洞。 ElasticSearch支持使用"在沙盒中的"Groovy语言作为动态脚本，但显然官方的工作并没有做好

Envoy 和 Istio 容易受到几个新发现的漏洞的攻击： CVE-2021-28683： Envoy 包含一个可远程利用的 NULL 指针取消引用，并在收到未知 TLS 警报代码时在 TLS 中崩溃。 CVE-2021-28682： Envoy 包含一个可远程利用的整数溢出，其中非常大的 grpc-timeout 值会导致意外的超时计算。 CVE-2021-29258： Envoy 包含一个可远程利用的漏洞，其中带有空元数据映射的 HTTP2 请求可能导致 Envoy 崩溃

Ghostscript是一套基于Adobe、PostScript及可移植文档格式（PDF）等页面描述语言而编译成的免费图像处理软件，被广泛应用于图片处理组件。目前已经从Linux版本移植到其他操作系统，如其他Unix、Mac OS X、VMS、Windows、OS/2和Mac OS classic。 近日，Ghostscript被爆出包含多个-dSAFER沙箱绕过漏洞

Ubuntu在官网的Blog中宣布，Ubuntu LTS正式发布的同时，获得了Raspberry Pi的认证。已执行了“成千上万的测试”，确保Ubuntu在Raspberry Pi上完美运行。经过Raspberry Pi的认证意味着每隔三周就会发布补丁和升级，关键的CVE(common vulnerabilities and exposures) bug将在一天内修复

当地时间4月17日，北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行代码。 该漏洞由绿盟科技研究员首先发现，并及时上报给了Oracle官方，关于该漏洞的更多信息以及绿盟科技的技术防护方案将随后发布，请关注绿盟科技博客。 Oracle官方已经在今天的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护

为保障顾客的安全，在完成调查并提供修补程式或更新版本之前，Apple 将不会披露、讨论或确认安全性问题。最近更新版本已列于 Apple 安全性更新网页。 Apple 安全性文件于安全漏洞方面会尽可能参照 CVE-ID

- macOS Zoom 和 RingCentral 用户端中有一个弱点，可允许未经验证的远端攻击者强制使用者在摄影机启用的情况下加入视讯通话。此弱点是因为未充分授权控制，无法检查哪些系统可能与在连接埠 19421 上执行的本机 Zoom Web 服务器通讯。攻击者可建立恶意网站，造成 Zoom 用户端自动加入攻击者设定的会议，进而恶意利用此弱点

0x01 漏洞详情VMware Spring Cloud Config是美国威睿（VMware）公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。 近日VMware官方发布通告，修复了一个VMware Spring Cloud Config中的目录遍历漏洞（CVE-2020-5410）

更新后的 bind97 程序包修复了两个安全问题，现在可用于 Red Hat Enterprise Linux 5。 Red Hat 安全响应团队已将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级