cve

RubyGems 是 Ruby 用于发布和管理第三方程式库的标准。 据发现，在使用 RubyGems 时，连线可从 HTTPS 重新导向至 HTTP。这可让使用者以为自己是透过 HTTPS 安装 gem，但实际上连线安全等级已悄悄降为 HTTP

北京时间5月15日，微软发布了针对远程桌面服务的远程执行代码漏洞CVE-2019-0708的修复程序漏洞触发无需用户交互。这也就意味着，攻击者可以利用该漏洞制作类似于2017年席卷全球的WannaCry类的蠕虫病毒，进行大规模传播和破坏。 远程桌面服务（以前称为终端服务）中存在远程执行代码漏洞，当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时

S2-059 Struts 远程代码执行漏洞（CVE-2019-0230），在不规范的使用某些 tag 等情况下，可能存在 OGNL 表达式注入，从而引发远程代码执行漏洞。 S2-060 Struts 拒绝服务漏洞（CVE-2019-0233），使得在上传文件并对其进行操作的时候，造成拒绝服务漏洞攻击。 使用腾讯云 Web 应用防火墙，腾讯云 Web 应用防火墙是基于 AI 的一站式 Web 安全解决方案

根据安装的 expat 程序包版本，远程主机上安装的 EulerOS 会受到下列漏洞影响：- 在版本低于 2.2.8 的 libexpat 中，构造的 XML 输入可能欺骗解析器过早从 DTD 解析到文件解析；连续调用 XML_GetCurrentLineNumber（或 XML_GetCurrentColumnNumber）然后导致基于堆的缓冲区过度读取。此漏洞影响 Firefox < 50。(CVE-2017-9233) 请注意，Tenable Network Security 已直接从 EulerOS 安全公告中提取上述描述块

2019年1月23日晚，Artifex官方在ghostscriptf的master分支上提交合并了多达6处的修复。旨在修复 CVE-2019-6116 漏洞，该漏洞由 Google 安全研究员 Tavis 于2018年12月3日提交。该漏洞可以直接绕过 ghostscript 的安全沙箱，导致攻击者可以执行任意命令/读取任意文件

为保障顾客的安全，在完成调查并提供修补程式或更新版本之前，Apple 将不会披露、讨论或确认安全性问题。最近更新版本已列于 Apple 安全性更新网页。 Apple 安全性文件于安全漏洞方面会尽可能参照 CVE-ID

在 BIND 处理零长度资源资料记录的方式中发现一个瑕疵。恶意的 DNS 网域拥有者可利用此瑕疵来建立特制的 DNS 资源记录，该记录会导致递回解析器或次要服务器当机，或可能的内存部分泄漏。(CVE-2012-1667) 在 BIND 处理已快取之名称服务器 (NS) 资源记录更新过程的方式中发现一个瑕疵

•长春·亚泰山语湖，位于净月国家高新技术产业开发区，北至天泽大路（丁十二五路），东至樱花街，南至10万平生态湖，西至亚泰新城饭店。整体地势北高南低，充分利用地块景观资源，临湖观景，带来视觉和采光上的双重宜居环境。亚泰山语湖项目整体占地13.19万㎡，总建筑面积23.25万㎡，绿化率35.91%

CVE-2014-3120后，ElasticSearch默认的动态脚本语言换成了Groovy，并增加了沙盒，但默认仍然支持直接执行动态语言。本漏洞：1.是一个沙盒绕过； 2.是一个Goovy代码执行漏洞。 ElasticSearch支持使用“在沙盒中的”Groovy语言作为动态脚本，但显然官方的工作并没有做好

2018年3月28日，Cisco IOS以及IOS XE软件被发现存在一个严重漏洞CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载（reload）设备造成拒绝服务条件，或者远程执行代码。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能，在TCP端口4786上运行的Cisco专用协议，若设备启用了Smart Install功能且对外开放4786端口，攻击者就可通过发送畸形Smart Install报文来利用此漏洞，使得设备缓冲区溢出，导致拒绝服务乃至远程代码执行等后果