go.uuid 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
go.uuid是一个用于 Go 的 UUID 包。这个包提供了通用唯一标识符 (UUID) 的纯 Go 实现。支持 UUID 的创建和解析。
go.uuid存在安全漏洞,该漏洞源于g.rand.Read函数中存在不安全的随机性导致攻击者可利用该漏洞可以预测生成的uuid。。
Docker和docker-py 代码注入漏洞
已弃用:代码
Docker是美国Docker公司的一款开源的应用容器引擎,它支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。docker-py是用于其中的一个基于Python语言的API客户端。
Docker 1.3.0及之前版本和docker-py 0.5.3及之前版本中存在安全漏洞,该漏洞源于连接到注册表的HTTPS失败时,将回退成HTTP。攻击者可通过在客户端和注册表之间限制HTTPS流量利用该漏洞实施中间人攻击和降级攻击,获取身份验证和图像数据。
jwt-go是个人开发者的一个Go语言的JWT实现。
jwt-go 4.0.0-preview1之前版本存在安全漏洞。攻击者可利用该漏洞在使用[]string{} for m[\"aud\"](规范允许)的情况下绕过预期的访问限制。
HashiCorp Consul 信息泄露漏洞
信息暴露
HashiCorp Consul是一套分布式、高可用数据中心感知解决方案。该产品用于跨动态分布式基础架构连接和配置应用程序。
HashiCorp Consul和Consul Enterprise 1.4.1版本至1.6.2版本中存在安全漏洞,该漏洞源于程序没有在全部的API端点上统一执行ACLs。攻击者可利用该漏洞获取信息。
http-swagger 安全漏洞
对异常条件的处理不恰当
http-swagger是一个 net/http 包装器。
http-swagge存在安全漏洞,该漏洞源于在 1.2.6 之前的 http-swagger 版本中,攻击者可能会执行拒绝服务攻击,包括在主机系统上耗尽内存。内存耗尽的原因归结为对 http 方法的不当处理。建议用户升级。无法升级的用户可以将路径前缀限制为“GET”方法作为解决方法。
Docker本地权限提升漏洞
在文件访问前对链接解析不恰当(链接跟随)
Docker是Linux上的服务提供容器管理。 Docker存在本地权限提升漏洞,允许攻击者利用漏洞提升权限。
Libcontainer和Docker Engine 权限许可和访问控制漏洞
在文件访问前对链接解析不恰当(链接跟随)
Libcontainer和Docker Engine都是美国Docker公司的产品。Libcontainer是一个Linux容器。Docker Engine是一套轻量级的运行环境和包管理工具。
Libcontainer和Docker Engine 1.6.1之前版本中存在安全漏洞,该漏洞源于程序在执行更改根目录操作前打开文件描述符(传递到pid-1进程)。本地攻击者可通过在图像上实施符号链接攻击利用该漏洞获取权限。
Gin-Gonic Gin 环境问题漏洞
HTTP请求的解释不一致性(HTTP请求私运)
Gin-Gonic Gin是Gin-Gonic团队的一个基于Go语言的用于快速构建Web应用的框架。
github.com/gin-gonic/gin 全部版本存在安全漏洞,该漏洞源于可以通过设置X-Forwarded-For头来欺骗客户端的IP。
Google Kubernetes API Server 资源管理错误漏洞
循环内过多的平台资源消耗
Google Kubernetes是美国谷歌(Google)公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。API server是其中的一个API(应用编程接口)服务器。
Google Kubernetes 1.15.10之前版本、1.16.7之前版本和1.17.3之前版本中的API Server组件存在资源管理错误漏洞。远程攻击者可借助特制请求利用该漏洞造成拒绝服务。
Pires go-proxyproto是 (Pires)开源的一个应用软件。提供一种安全的方式,可以跨NAT或TCP代理的多层安全地传输连接信息功能。
github.com/pires/go-proxyproto before 0.5.0 存在安全漏洞,该漏洞源于在代码中没有实现限制,V1 header可以使用此代码耗尽服务器进程中的内存,并创建一个DoS。
Hashicorp HashiCorp Consul 安全漏洞
Hashicorp HashiCorp Consul是美国HashiCorp(Hashicorp)公司的一套分布式、高可用数据中心感知解决方案。该产品用于跨动态分布式基础架构连接和配置应用程序。
Consul 存在安全漏洞,该漏洞允许远程攻击者破坏目标系统。以下产品及版本受到影响:Consul: 1.8.0, 1.8.1, 1.8.2, 1.8.3, 1.8.4, 1.8.5, 1.8.6, 1.8.7, 1.8.8, 1.8.9, 1.9.0, 1.9.1, 1.9.2, 1.9.3, 1.9.4。
Hashicorp HashiCorp Consul 安全漏洞
拒绝服务
Hashicorp HashiCorp Consul是美国HashiCorp(Hashicorp)公司的一套分布式、高可用数据中心感知解决方案。该产品用于跨动态分布式基础架构连接和配置应用程序。
HashiCorp Consul和Consul Enterprise 1.8.0到1.9.14、1.10.7和1.11.2存在安全漏洞,该漏洞源于应用存在不受控的资源消耗。
Docker 权限许可和访问控制漏洞
权限、特权和访问控制
Docker是美国Docker公司的一款开源的应用容器引擎,它支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。
Docker 1.0.0版本中存在安全漏洞,该漏洞源于程序对管理套接字使用全局可读和全局可写权限。本地攻击者可利用该漏洞获取特权。
Docker Engine 权限许可和访问控制漏洞
权限、特权和访问控制
Docker Engine是美国Docker公司的一套轻量级的运行环境和包管理工具。
Docker Engine 1.6.1之前版本中存在安全漏洞,该漏洞源于程序没有正确限制数据卷的挂载配置。本地攻击者可借助特制的图像利用该漏洞设置任意Linux Security Modules(LSM)和docker_t策略。
miekg Go DNS package 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
miekg Go DNS package是一款DNS服务器软件包。
miekg Go DNS package 1.1.25之前版本(用在CoreDNS 1.6.6之前版本和其他产品)中存在安全漏洞,该漏洞源于程序没有正确生成随机数。攻击者可利用该漏洞伪造响应。
Docker是美国Docker公司的一款开源的应用容器引擎,它支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。
Docker 1.3.3之前版本中存在安全漏洞,该漏洞源于程序没有正确验证图像ID。远程攻击者可借助‘docker load’操作或‘registry communications’中特制的图像利用该漏洞实施路径遍历攻击,伪造存储库。
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 Docker存在多个目录遍历漏洞,远程攻击者可以利用与目录遍历序列特制的请求('../')遍历目录,获取敏感信息。
Pires go-proxyproto是 (Pires)开源的一个应用软件。提供一种安全的方式,可以跨NAT或TCP代理的多层安全地传输连接信息功能。
go-proxyproto 中存在处理逻辑错误漏洞,该漏洞源于产品在没有代理协议头的情况下创建连接,攻击者可通过该漏洞导致拒绝服务。以下产品及版本受到影响:go-proxyproto 0.6.0 之前版本。
评论