Jetty是Eclipse基金会的一个自由和开源项目,是一个基于Java的Web服务器和Java Servlet容器。
Jetty在处理哈希表单张贴和更新哈希表单时,哈希生成函数中存在漏洞。攻击者可利用此漏洞通过在HTTP POST请求中发送特制的表单,造成哈希冲突,导致较高的CPU消耗。
Apache Commons HttpClient Amazon FPS 输入验证错误漏洞
证书验证不恰当
HttpClient是Apache Jakarta Common下的子项目,用来提供高效的支持HTTP协议的客户端编程工具包。
Apache Commons HttpClient 3.x版本使用在Amazon Flexible Payments Service (FPS) merchant Java SDK以及其他产品中时存在漏洞,该漏洞源于在主题Common Name(CN)或X.509证书的subjectAltName字段中,程序没有对服务器主机名与域名的匹配进行校验。中间人攻击者利用该漏洞通过任意有效的证书欺骗SSL服务器。
Apache Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop 2.7.0之前的版本中的HDFS Web UI中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。
JetBrains Kotlin 授权问题漏洞
缺省权限不正确
JetBrains Kotlin是捷克JetBrains公司的一款在Java虚拟机上运行的静态类型编程语言。
JetBrains Kotlin before 1.4.2 存在授权问题漏洞,该漏洞源于权限不安全,攻击者可利用该漏洞读取数据。
commons-codec:commons-codec 存在信息暴露漏洞
信息暴露
commons-codec:commons-codec 是一个包含各种格式(如 Base64 和 Hexadecimal)的简单编码器和解码器的包。此软件包的受影响版本容易受到信息泄露的影响。
Eclipse Jetty 信息泄露漏洞
信息暴露
Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。
漏洞版本中,攻击者可以使用一些特制的URI来访问WEB-INF目录的内容或绕过一些安全限制,这会导致敏感信息泄露。
Bouncy Castle BC 竞争条件问题漏洞
竞争条件
Bouncy Castle BC是Bouncy Castle组织的一个用于C#和Java应用程序的加密库。
Bouncy Castle BC Java, BC C# .NET, BC-FJA, BC-FNA 存在竞争条件问题漏洞,攻击者可利用该漏洞绕过对数据的访问限制,以获取敏感信息。
Apache Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop中存在信息泄露漏洞,远程攻击者可利用该漏洞绕过安全限制,执行未授权的操作。
Apache Parquet输入验证错误漏洞
输入验证不恰当
Apache Parquet是美国Apache基金会的一种列式存储格式。可用于Hadoop生态系统中的任何项目。 Apache Parquet中存在输入验证错误漏洞,该漏洞源于产品的Parquet-MR未对Parquet文件进行有效验证。攻击者可通过恶意文件导致拒绝服务。
org.apache.spark:spark-core_2.12 存在命令注入漏洞
命令注入
org.apache.spark:spark-core_2.12 是用于大规模数据处理的统一分析引擎。它提供了 Scala、Java、Python 和 R 中的高级 API,以及支持用于数据分析的通用计算图的优化引擎。它还支持一组丰富的高级工具,包括用于 SQL 和 DataFrames 的 Spark SQL、用于 Pandas 工作负载的 Spark 上的 Pandas API、用于机器学习的 MLlib、用于图形处理的 GraphX 和用于流处理的结构化流。此软件包的受影响版本容易通过 Utils 执行任意命令。
Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。Apache Hadoop存在安全漏洞,该漏洞源于TAR条目可能会在指向外部目录的预期提取目录下创建符号链接,并使用符号链接名称将任意文件提取到外部目录中。攻击者可以利用该漏洞造成信息泄露。
Apache Spark UI shell 命令注入漏洞
命令注入
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
如果Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。
Apache Hadoop 输入验证错误漏洞
输入验证不恰当
Apache Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop 2.7.0之前的版本中存在安全漏洞。攻击者可通过提交恶意的输入利用该漏洞绕过输入验证保护机制。
Apache Hadoop 信息泄露漏洞
信息暴露
Apache Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop 2.6.4之前的版本和2.7.2之前的2.7.x版本中HDFS的short-circuit读取功能存在信息泄露漏洞。本地攻击者可通过构建块访问令牌利用该漏洞获取文件的读取权限。
Apache Ant fixcrlf 临时文件未限制权限漏洞
在具有不安全权限的目录中创建临时文件
Apache Ant是美国阿帕奇(Apache)基金会的一套用于Java软件开发的自动化工具。该工具主要用于软件的编译、测试和部署等。
Apache Ant 1.10.8版本存在安全漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。
Apache Spark加密问题漏洞
使用捕获-重放进行的认证绕过
Apache Spark 支持通过“spark.authenticate”和“spark.network.crypto.enabled”对 RPC 连接进行端到端加密。在 3.1.2 及更早版本中,它使用定制的相互身份验证协议,允许完全加密密钥恢复。在初始交互式攻击之后,这将允许某人离线解密明文流量。请注意,这不会影响由“spark.authenticate.enableSaslEncryption”、“spark.io.encryption.enabled”、“spark.ssl”、“spark.ui.strictTransportSecurity”控制的安全机制。更新到 Apache Spark 3.1.3 或更高版本
org.json:json 存在拒绝服务漏洞
拒绝服务
当初始化 JSONArray 对象并且输入是 [ 时此软件包的受影响版本易受拒绝服务 (DoS) 攻击。
Apache Hadoop 信息泄露漏洞
密码学问题
Hadoop是美国阿帕奇(Apache)软件基金会的一套开源的分布式系统基础架构,它能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。
Apache Hadoop 2.0.0-alpha版本中的DataNodes中存在漏洞,该漏洞源于Kerberos启动时未校验客户的BlockTokens,从NodeName中DataNode已检查出两次相同的BlockPool。远程攻击者可利用该漏洞读取任意块及写入只有读取访问的块,也可能存在其他未明影响。
jackson-mapper-asl 代码问题漏洞
XXE
jackson-mapper-asl是一款基于Jackson JSON处理器构建的数据映射软件包。
jackson-mapper-asl 1.9.x版本中存在代码问题漏洞。远程攻击者可借助特制数据利用该漏洞获取敏感信息。
Apache Ant 信息泄露漏洞
将资源暴露给错误范围
Apache Ant是美国阿帕奇(Apache)基金会的一套用于Java软件开发的自动化工具。该工具主要用于软件的编译、测试和部署等。
Apache Ant 1.1版本至1.9.14版本和1.10.0版本至1.10.7版本中存在信息泄露漏洞。攻击者可利用该漏洞泄漏敏感信息。
评论