SQLite是美國(guó)D.Richard Hipp軟件開(kāi)發(fā)者的一套基于C語(yǔ)言的開(kāi)源嵌入式關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。該系統(tǒng)具有獨(dú)立性、隔離性、跨平臺(tái)等特點(diǎn)。SQLite 3.30.1版本中的expr.c文件的‘sqlite3ExprCodeTarget’函數(shù)存在安全漏洞。

Linux kernel 4.9.0版本中存在安全漏洞。

HAProxy是法國(guó)HAProxy公司的一款開(kāi)源的TCP/HTTP負(fù)載均衡服務(wù)器。該服務(wù)器提供4層、7層代理，并能支持上萬(wàn)級(jí)別的連接，具有高效、穩(wěn)定等特點(diǎn)。HAProxy 2.0.10之前版本中的HTTP/2實(shí)現(xiàn)存在安全漏洞，該漏洞源于程序沒(méi)有正確地處理請(qǐng)求報(bào)頭。

Eclipse Jetty是Eclipse基金會(huì)的一個(gè)開(kāi)源的、基于Java的Web服務(wù)器和Java Servlet容器。Eclipse Jetty 9.4.21.v20190926版本、9.4.22.v20191022版本和9.4.23.v20191118版本中存在跨站腳本漏洞。

OpenDNSSEC是OpenDNSSEC團(tuán)隊(duì)的一款用于管理計(jì)算機(jī)上域名安全性的開(kāi)源程序。OpenDNSSEC中存在安全漏洞，該漏洞源于程序沒(méi)有正確使用libcurl API。

Marvell WiFi chip driver是其中的的一個(gè)WiFi芯片驅(qū)動(dòng)程序。Linux kernel kernel-2.6.32版本中的Marvell WiFi chip driver存在緩沖區(qū)錯(cuò)誤漏洞。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí)，未正確驗(yàn)證數(shù)據(jù)邊界，導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯(cuò)誤的讀寫(xiě)操作。攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等。

Marvell WiFi chip driver是其中的的一個(gè)WiFi芯片驅(qū)動(dòng)程序。Linux kernel-2.6.32版本中的Marvell WiFi chip driver存在緩沖區(qū)錯(cuò)誤漏洞。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí)，未正確驗(yàn)證數(shù)據(jù)邊界，導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯(cuò)誤的讀寫(xiě)操作。攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等。

trousers中存在后置鏈接漏洞。攻擊者可利用該漏洞獲取系統(tǒng)中任意文件的所有權(quán)。

None

一個(gè)空指針廢棄缺陷在fs / btrfs btrfs_root_node ctree。c可能發(fā)生如果rcu_dereference函數(shù)返回不及時(shí)驗(yàn)證失敗。這一缺陷可能允許攻擊者內(nèi)核崩潰系統(tǒng)或泄漏的內(nèi)部信息。

Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。NFSv4 implementation是其中的一個(gè)分布式文件系統(tǒng)協(xié)議。Linux kernel 4.8.7之前的版本中的kvm/emulate.c文件的‘x86_decode_insn’函數(shù)存在拒絕服務(wù)漏洞。本地攻擊者可利用該漏洞造成拒絕服務(wù)（主機(jī)操作系統(tǒng)崩潰）。

Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：安全性）中的漏洞。受影響的受支持版本是javase:6u201、7u191、8u182和11；javase Embedded:8u181。難以利用的漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)多個(gè)協(xié)議訪問(wèn)網(wǎng)絡(luò)，危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會(huì)嚴(yán)重影響其他產(chǎn)品。成功攻擊此漏洞可導(dǎo)致未經(jīng)授權(quán)更新、插入或刪除對(duì)Java SE、Java SE嵌入的可訪問(wèn)數(shù)據(jù)的訪問(wèn)。注意：此漏洞適用于Java部署，通常在運(yùn)行沙盒Java Web Start應(yīng)用程序或沙盒Java小程序（在Java SE 8中）的客戶(hù)端中，這些客戶(hù)端加載并運(yùn)行不受信任的代碼（例如來(lái)自internet的代碼）并依賴(lài)Java沙盒來(lái)實(shí)現(xiàn)安全性。此漏洞不適用于僅加載和運(yùn)行受信任代碼（例如由管理員安裝的代碼）的Java部署，通常在服務(wù)器中。CVSS 3.0基本得分3.4（完整性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:N）。

我們發(fā)現(xiàn)keyclope允許在密碼重置請(qǐng)求中濫用客戶(hù)端/etc/hosts條目來(lái)欺騙URL。攻擊者可以利用此漏洞來(lái)創(chuàng)建惡意密碼重置請(qǐng)求并獲取有效的重置令牌，從而導(dǎo)致信息泄露或進(jìn)一步的攻擊。

發(fā)現(xiàn)使用Kerberos身份驗(yàn)證時(shí)Samba總是請(qǐng)求可轉(zhuǎn)發(fā)票證。隨后，使用Kerberos進(jìn)行身份驗(yàn)證的Samba服務(wù)可以隨后使用票證將Samba模擬給其他服務(wù)或域用戶(hù)。

Linux kernel 5.3.9及之前版本中的security/apparmor/audit.c文件的‘a(chǎn)a_audit_rule_init’函數(shù)存在資源管理錯(cuò)誤漏洞。遠(yuǎn)程攻擊者可借助特制請(qǐng)求利用該漏洞導(dǎo)致拒絕服務(wù)。