cve

远端 Mandriva Linux 主机缺少一或多个安全性更新。 更新版 jasper 套件可修正安全性弱点： 在 JasPer 剖析 JPEG 2000 影像档内 ICC 色彩设定档的方式中发现一个重复释放瑕疵。特制的档案可能造成使用 JasPer 的应用程序损毁，或可能执行任意程式码 (CVE-2014-8137)

OpenSSL于2022年3月15日发布安全公告，宣布修补了与凭证解析有相关的严重阻断服务攻击(Denial of Service DoS)资安漏洞，建议用户立即进行更新。 该漏洞的编号为CVE-2022-0778，由Google的研究人员Tavis Ormandy提报给OpenSSL。据OpenSSL官方公告，由于解析凭证时用到的BN_mod_sqrt()函数存在一个问题，在某些情况下骇客可以制作恶意凭证，利用该漏洞使目标系统无法提供服务

WEBrick 的摘要认证存在正则表达式 DoS 攻击缺陷。攻击者可以利用这个缺陷拿下 WEBrick 服务。 Ruby 内置的 File.fnmatch 及 File.fnmatch? 存在 NUL 字节注入缺陷

Red Hat 和 CentOS 宣布了其 Red Hat Enterprise Linux 7 和 CentOS Linux 7 操作系统系列重要内核安全更新的可用性。据悉，这些更新解决了两个安全漏洞和许多其他 bug。 具体表现为，新的 Linux 内核安全更新此次修复了 CVE-2019-14821和 CVE-2019-15239 两个漏洞

除了上述提到的 CVE-2023-23529 安全漏洞，近段时间，国内某安全厂商还监测了多个 Apple 官方发布的安全漏洞通知，主要包括： 相较于其它两个漏洞，CVE-2023-23529 影响范围及危害程度最严重，该漏洞允许未经身份认证的远程攻击者诱骗受害者访问其特制的恶意网站，使 WebKit 处理网页内容时触发类型混淆错误，最终在目标系统上实现任意代码执行。 此外，攻击者可组合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升权限并逃逸 Safari 沙箱。值得注意的是，安全研究人员已经发现 Apple WebKit 任意代码执行漏洞 CVE-2023-23529 在野利用的迹象，鉴于这些漏洞影响范围较大，建议客户尽快做好自查及防护

此次安全漏洞更新包括chromium-browser和expat更新。 CVE-2016-1646 ：在V8库中的一个越界读取的问题。 CVE-2016-1647：发现了一个使用后内存释放的问题

远程 EulerOS 主机缺少一个安全更新。 根据安装的 libXvMC 程序包版本，远程主机上安装的 EulerOS 会受到下列漏洞影响：- 在 X.org libXvMC 1.0.10 之前版本中，缓冲区下溢允许远程 X 服务器通过空字符串，造成不明影响。(CVE-2016-7953) 请注意，Tenable Network Security 已直接从 EulerOS 安全公告中提取上述描述块

0x04 漏洞详情 CVE-2020-16875: 命令执行漏洞. 由于对cmdlet参数的验证不正确，Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限

此更新可修正下列安全性问题： * 在 Linux 核心的体管理子系统中，大型页面所执行的配额处理方式中发现释放后使用瑕疵。无权限的本机使用者可利用此瑕疵造成拒绝服务，或可能提升其权限。 * 在 Linux 核心的 madvise() 系统呼叫实作中，发现一个释放后使用瑕疵

更新后的 glibc 程序包修复了一个安全问题，现在可用于 Red Hat Enterprise Linux 5。 Red Hat 产品安全团队将此更新评级为具有严重安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级