問題摘要：檢查過長的無效RSA公鑰可能需要很長時間。影響摘要：使用函數(shù)EVP_PKEY_public_check（）檢查RSA公鑰的應用程序可能會經(jīng)歷長時間延遲。如果正在檢查的密鑰是從不受信任的來源獲得的，這可能會導致拒絕服務。當對RSA公鑰調用函數(shù)EVP_PKEY_public_check（）時，將進行計算以確認RSA模數(shù)n是復合的。對于有效的RSA密鑰，n是兩個或多個大素數(shù)的乘積，并且此計算很快完成。然而，如果n是一個過大的素數(shù)，那么這個計算將花費很長時間。調用EVP_PKEY_public_check（）并提供從不可信來源獲得的RSA密鑰的應用程序可能容易受到拒絕服務攻擊。函數(shù)EVP_PKEY_public_check（）不是從其他OpenSSL函數(shù)調用的，而是從OpenSSL PKEY命令行應用程序調用的。因此，如果在不受信任的數(shù)據(jù)上與“-pubin”和“-check”選項一起使用，該應用程序也會受到攻擊。OpenSSL SSL/TLS實現(xiàn)不受此問題的影響。OpenSSL 3.0和3.1 FIPS提供程序受此問題影響。

setup應用程序中存在一個不正確的導出漏洞，本地攻擊者可以讀取敏感的用戶信息。

iSulad中的檢查時間-使用時間（TOCTOU）競爭條件漏洞允許利用檢查時間和使用時間（TOCTOU）的競爭條件。此問題影響iSulad:2.0.18-13，從2.1.4-1到2.1.4-2。

在cri-o中發(fā)現(xiàn)了一個缺陷，其中可以通過Pod注釋注入任意的systemd屬性。任何可以創(chuàng)建具有任意注釋的pod的用戶都可以在主機系統(tǒng)上執(zhí)行任意操作。

當NGINX Plus或NGINX OSS配置為使用HTTP/3 QUIC模塊時，未公開的請求可能會導致NGINX工作進程終止。注意：默認情況下，HTTP/3 QUIC模塊未啟用，被視為實驗性模塊。

在nginx HTTP/3實現(xiàn)中發(fā)現(xiàn)了一個缺陷。此問題可能允許攻擊者使用特制的QUIC會話觸發(fā)NULL指針取消引用錯誤，從而導致工作進程崩潰，從而導致拒絕服務。

NLnet Labs Unbound是荷蘭NLnet Labs團隊的一款開源DNS服務器。 NLnet Labs Unbound 1.18.0 至 1.19.1版本存在安全漏洞，該漏洞源于特定代碼路徑存在無限循環(huán)，導致拒絕服務。

Wireshark（前稱Ethereal）是導線鯊魚（Wireshark）團隊的一套網(wǎng)絡數(shù)據(jù)包分析軟件。該軟件的功能是截取網(wǎng)絡數(shù)據(jù)包，并顯示出詳細的數(shù)據(jù)以供分析。 Wireshark 存在安全漏洞，該漏洞源于 GVCP 解析器崩潰，允許通過數(shù)據(jù)包注入或精心設計的捕獲文件拒絕服務。

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。 Linux Kernel存在安全漏洞，該漏洞源于刪除 mm/page-writeback.c 中 wb_inode_writeback_end 中的設備會導致釋放后重用。

QEMU（Quick Emulator）是法國法布里斯-貝拉（Fabrice Bellard）個人開發(fā)者的一套模擬處理器軟件。該軟件具有速度快、跨平臺等特點。 QEMU存在安全漏洞，該漏洞源于 NULL 指針取消引用，從而導致 QEMU 崩潰并觸發(fā)拒絕服務。

Wireshark（前稱Ethereal）是導線鯊魚（Wireshark）團隊的一套網(wǎng)絡數(shù)據(jù)包分析軟件。該軟件的功能是截取網(wǎng)絡數(shù)據(jù)包，并顯示出詳細的數(shù)據(jù)以供分析。 Wireshark 存在安全漏洞，該漏洞源于 IEEE 1609.2 解析器崩潰，允許通過數(shù)據(jù)包注入或精心設計的捕獲文件拒絕服務。

gnuplot是一款命令行的交互式工具用戶通過輸入命令可以將數(shù)據(jù)資料和數(shù)據(jù)函數(shù)轉換為易于觀察的平面或立體圖形 gnuplot v5.5版本存在安全漏洞，該漏洞源于通過函數(shù)plotrequest()包含緩沖區(qū)溢出。

aiven extra是PostgreSQL的擴展。允許提升到使用aixen-extra包的PostgreSQL數(shù)據(jù)庫中的超級用戶。該漏洞利用aiven extra擴展調用的特權函數(shù)上缺少的架構限定符。低特權用戶可以創(chuàng)建與現(xiàn)有函數(shù)名沖突的對象，然后執(zhí)行這些對象。利用此漏洞可以允許低特權用戶獲得超級用戶權限，從而允許對所有數(shù)據(jù)和數(shù)據(jù)庫功能進行完全、不受限制的訪問。并且可能導致作為postgres用戶在底層主機上執(zhí)行任意代碼或訪問數(shù)據(jù)。

LibTomCrypt是一款模塊化便攜式密碼工具，它主要為開發(fā)人員提供塊密碼、單向哈希函數(shù)、鏈接模式和偽隨機數(shù)生成器等。 LibTomCrypt 0.062 之前版本存在安全漏洞，該漏洞源于 CryptX 模塊的函數(shù)gcm_decrypt_verify和 chacha20poly1305_decrypt_verify存在安全漏洞。

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。 Linux kernel 存在加密問題漏洞，該漏洞源于混合IPID分配方法和基于散列的IPID分配策略允許偏離路徑的攻擊者可利用該漏洞將數(shù)據(jù)注入受害者的TCP會話或終止該會話。