FasterXML Jackson jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.2之前的2.x版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。目前没有详细漏洞细节提供。
FasterXML jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.5之前的2.x版本中存在安全漏洞。目前没有详细漏洞细节提供。
Eclipse Jetty 信息泄露漏洞
信息暴露
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
Eclipse Jetty中存在安全漏洞。攻击者可利用该漏洞泄露信息。以下版本受到影响:Eclipse Jetty 7.x版本,8.x版本,9.2.27及之前版本,9.3.26及之前版本,9.4.16及之前版本。
Apache Hadoop 信息泄露漏洞
密码学问题
Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop 2.0.0-alpha版本中的DataNodes中存在漏洞,该漏洞源于Kerberos启动时未校验客户的BlockTokens,从NodeName中DataNode已检查出两次相同的BlockPool。远程攻击者可利用该漏洞读取任意块及写入只有读取访问的块,也可能存在其他未明影响。
Apache Xalan-Java 权限许可和访问控制问题漏洞
权限、特权和访问控制
Apache Xalan-Java是美国阿帕奇(Apache)软件基金会的一款用于将XML文档转为HTML文档、文本文件txt或其他XML文档格式的XSLT处理器。
Apache Xalan-Java 2.7.1及之前版本的TransformerFactory中存在权限许可和访问控制问题漏洞,当使用FEATURE_SECURE_PROCESSING时,程序没有正确限制访问某些属性。远程攻击者可利用该漏洞绕过预期的限制,加载任意类或访问外部资源。
Cognitect Datomic FREE 输入验证错误漏洞
输入验证不恰当
Cognitect Datomic是美国Cognitect公司的一套具有灵活数据模型、弹性扩展和查询的事务型数据库。H2是使用在其中的一个数据库引擎。
Cognitect Datomic 0.9.5697之前版本及其它产品中使用的H2 1.4.197版本存在输入验证漏洞,该漏洞源于CREATE ALIAS可以执行任意的Java代码。远程攻击者可利用该漏洞执行代码。
Bouncy Castle JCE Provider AESFastEngine和AESEngine信息泄露漏洞
密码学问题
Bouncy Castle JCE Provider是一款基于Java的加密包。AESFastEngine和AESEngine都是其中的加密引擎。
Bouncy Castle JCE Provider 1.55及之前版本中的AESFastEngine和AESEngine存在安全漏洞。攻击者可利用该漏洞泄露有关AES密钥的信息。
Bouncy Castle JCE Provider 加密问题漏洞
密码学问题
Bouncy Castle JCE Provider是一款基于Java的加密包。
Bouncy Castle JCE Provider 1.55及之前版本中存在安全漏洞,该漏洞源于DHIES的实现允许使用不安全的ECB模式。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.commons.dbcp2.datasources.SharedPoolDataSource 相关的序列化小工具和类型之间的交互。
Apache Tomcat 授权问题漏洞
认证机制不恰当
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。
Apache Tomcat存在授权问题漏洞,该漏洞源于Apache Tomcat 的 JNDI 领域中的一个漏洞允许攻击者使用有效用户名的变体进行身份验证和/或绕过锁定LockOut 领域提供的某些保护。
Apache Thrift Node.js static web服务器访问控制错误漏洞
文件和路径信息暴露
Apache Thrift是美国阿帕奇(Apache)软件基金会的一个用于跨平台开发的框架。Node.js static web server是其中的一个静态Web服务器。
由于其存在访问控制错误漏洞,远程攻击者可利用该漏洞访问在set webservers docroot路径之外的文件。
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。
Apache Tomcat存在安全漏洞,漏洞版本中对于Tomcat实例仍然容易受到CVE-2020-9494的攻击。
Apache Groovy 远程代码执行漏洞
反序列化
Apache Groovy是美国阿帕奇软件基金会的基于Java平台面向对象的编程语言。
Apache Groovy 2.4.4版本至2.4.7版本和1.7.0版本至2.4.3版本中存在远程代码执行漏洞。
攻击者可利用该漏洞进行远程代码执行。
Apache Hive 信息泄露漏洞
通过差异性导致的信息暴露
Apache Hive cookie 签名验证使用非恒定时间比较,已知该比较容易受到定时攻击。这可能允许恢复另一个用户的 cookie 签名。该问题已在 Apache Hive 2.3.8 中得到解决
Logback-core 存在输入验证不恰当漏洞
输入验证不恰当
ch.qos.logback:logback-core 是一个 logback-core 模块。此软件包的受影响版本容易受到主机名验证不足的影响。 X.509 未正确验证。通过通过看似有效的证书欺骗 TLS/SSL 服务器,具有拦截网络流量(例如,MitM、DNS 缓存中毒)能力的攻击者可以泄露和选择性地操纵传输的数据。
FasterXML Jackson databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML jackson-databind 2.8.11.5之前版本和2.9.0版本及之后版本(2.9.10版本已修复)中存在代码问题漏洞。攻击者可利用该漏洞执行任意代码。
Apache Commons FileUpload 访问控制错误漏洞
访问控制不恰当
Apache Commons FileUpload before 1.3.3 DiskFileItem 文件操作远程代码执行
JCraft JSch是一款使用Java语言编写的SSH2实现。
JCraft JSch 基于Windows平台的0.1.54之前版本中存在路径遍历漏洞。远程攻击者可利用该漏洞写入任意文件。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS 相关的序列化小工具和类型之间的交互。
Apache Groovy是美国阿帕奇(Apache)软件基金会的一种基于Java平台面向对象的编程语言,它结合了Python、Ruby和Smalltalk的许多强大的特性。
Apache Groovy 1.7.0版本至2.4.3版本的runtime/MethodClosure.java文件中的MethodClosure类存在安全漏洞。远程攻击者可借助特制的序列化对象利用该漏洞执行任意代码,或造成拒绝服务。
评论