在 libvirt 中發(fā)現(xiàn)了一個(gè) use-after-free 缺陷。 qemuProcessHandleMonitorEOF 中的 qemuMonitorUnregister() 函數(shù)是使用多個(gè)線(xiàn)程調(diào)用的，而沒(méi)有受到監(jiān)視器鎖的充分保護(hù)。 當(dāng)guestos關(guān)閉時(shí)，virConnectGetAllDomainStats API 可能會(huì)觸發(fā)此漏洞。 具有只讀連接的非特權(quán)客戶(hù)端可以利用此漏洞通過(guò)導(dǎo)致 libvirt 守護(hù)進(jìn)程崩潰來(lái)執(zhí)行拒絕服務(wù)攻擊。

GNU Midnight Commander是一個(gè)可視化文件管理器。Midnight Commander 存在安全漏洞，該漏洞源于從4.8.26版本開(kāi)始，在 Midnight Commander 建立SFTP連接時(shí)，既不檢查也不顯示服務(wù)器的指紋。 攻擊者可利用該漏洞在無(wú)法驗(yàn)證其真實(shí)性的情況下連接到服務(wù)器。

Tcl是一個(gè)免費(fèi)可用的開(kāi)源包。提供了一個(gè)強(qiáng)大的平臺(tái)，用于創(chuàng)建將各種應(yīng)用程序、協(xié)議、設(shè)備和框架聯(lián)系在一起的集成應(yīng)用程序。Tcl 8.6.11版本存在格式化字符串錯(cuò)誤漏洞，該漏洞源于程序的nmakehlp.c中的格式字符串漏洞可能允許通過(guò)crated文件執(zhí)行代碼。

Intelligent Platform Management Interface（IPMI,智能平臺(tái)管理接口）是一種Intel架構(gòu)的企業(yè)系統(tǒng)的周邊設(shè)備所采用的一種工業(yè)標(biāo)準(zhǔn)。IPMI亦是一個(gè)開(kāi)放的免費(fèi)標(biāo)準(zhǔn)，用戶(hù)無(wú)需支付額外的費(fèi)用即可使用此標(biāo)準(zhǔn)。IPMI 能夠橫跨不同的操作系統(tǒng)、固件和硬件平臺(tái)，可以智能的監(jiān)控、控制和自動(dòng)回報(bào)大量服務(wù)器的運(yùn)作狀況，以降低服務(wù)器系統(tǒng)成本。Intelligent Platform Management Interface（IPMI,智能平臺(tái)管理接口）2.0版本規(guī)范支持的RMCP+ Authenticated Key-Exchange Protocol (RAKP)身份認(rèn)證中存在信任管理問(wèn)題漏洞。遠(yuǎn)程攻擊者可通過(guò)獲得來(lái)自BMC響應(yīng)的RAKP消息2中的HMAC，利用該漏洞獲得密碼哈希值，實(shí)施離線(xiàn)口令猜測(cè)攻擊。

Qt是挪威Qt公司的一個(gè)跨平臺(tái)的C++應(yīng)用程序開(kāi)發(fā)框架。廣泛用于開(kāi)發(fā)GUI程序，這種情況下又被稱(chēng)為部件工具箱。也可用于開(kāi)發(fā)非GUI程序，例如控制臺(tái)工具和服務(wù)器。Qt 在Linux 和 UNIX平臺(tái)上的5.9.x 至 5.15.8版本和6.2.4之前版本存在安全漏洞，該漏洞源于當(dāng)在路徑中找不到時(shí)，QProcess可以從當(dāng)前工作目錄執(zhí)行二進(jìn)制文件。。

Google Chrome是美國(guó)谷歌（Google）公司的一款Web瀏覽器。Google Chrome 中存在資源管理錯(cuò)誤漏洞，該漏洞源于產(chǎn)品的 Blink XSLT 組件中存在對(duì)資源釋放后仍然使用的缺陷，攻擊者可通過(guò)誘導(dǎo)用戶(hù)打開(kāi)特定網(wǎng)頁(yè)來(lái)引發(fā)該漏洞。以下產(chǎn)品及版本受到影響：Google Chrome 70.0.3538.67 至 91.0.4472.124 版本，Microsoft Edge (Chromium-based)。

Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel 5.19之前的版本存在安全漏洞，該漏洞源于其include/asm-generic/tlb.h組件在VM_PFNMAP VMAs的情況下因競(jìng)爭(zhēng)條件導(dǎo)致設(shè)備驅(qū)動(dòng)程序可以在頁(yè)面仍然有過(guò)時(shí)的TLB條目時(shí)釋放頁(yè)面。

Apache HTTP Server是美國(guó)阿帕奇（Apache）基金會(huì)的一款開(kāi)源網(wǎng)頁(yè)服務(wù)器。該服務(wù)器具有快速、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)。Apache HTTP Server 2.4.53 之前版本存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于 mod_isapi 模塊處理請(qǐng)求時(shí)存在越界問(wèn)題。

lxml是lxml個(gè)人開(kāi)發(fā)者的一個(gè)可與Python交互用于定位Html中元素的軟件。lxml 4.6.5之前版本存在注入漏洞，該漏洞源于HTML Cleaner允許某些精心制作的腳本內(nèi)容以及使用數(shù)據(jù)URI嵌入的SVG文件中的腳本內(nèi)容通過(guò)。

RubyGem Rack是一款使用Ruby編程語(yǔ)言開(kāi)發(fā)的Web服務(wù)器和Web應(yīng)用程序之間的模塊化接口。RubyGem Rack 2.2.3之前版本和2.1.4之前版本中存在安全漏洞。攻擊者可利用該漏洞控制以secure或host-only為前綴的cookie。

Python是Python軟件基金會(huì)的一套開(kāi)源的、面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言。該語(yǔ)言具有可擴(kuò)展、支持模塊和包、支持多種平臺(tái)等特點(diǎn)。Python（Windows）中存在安全漏洞，該漏洞源于python3X.dll對(duì)python3.dll加載時(shí)使用無(wú)效的搜索路徑。攻擊者可利用該漏洞使其加載惡意的python3.dll。以下產(chǎn)品及版本受到影響：Python 3.6版本至3.6.10版本，3.7版本至3.7.8版本，3.8版本至3.8.4rc1版本，3.9版本至3.9.0b4版本。

BlueZ是一款使用C語(yǔ)言編寫(xiě)的藍(lán)牙協(xié)議堆棧，它主要用于提供對(duì)核心藍(lán)牙層和協(xié)議的支持。BlueZ 5.59之前的版本存在安全漏洞，該漏洞源于profiles/audio/avdtp.c組件可以處理畸形和無(wú)效的功能導(dǎo)致近源攻擊者可以獲取敏感信息。

BlueZ是一款使用C語(yǔ)言編寫(xiě)的藍(lán)牙協(xié)議堆棧，它主要用于提供對(duì)核心藍(lán)牙層和協(xié)議的支持。BlueZ 5.59之前的版本存在安全漏洞，該漏洞源于profiles/audio/avrcp.c組件不能驗(yàn)證params_len導(dǎo)致近源攻擊者可以獲取敏感信息。

colord是一項(xiàng)系統(tǒng)服務(wù)，可以輕松管理、安裝和生成顏色配置文件，以準(zhǔn)確管理輸入和輸出設(shè)備的顏色。colord 存在安全漏洞，該漏洞源于其colord/src/cd-device-db.c組件和colord/src/cd-profile-db.c組件存在信息泄露，主要原因在于sqlite3_exec的err_msg在使用后未釋放，而libxml2強(qiáng)調(diào)調(diào)用者需要釋放它。

lxml是lxml個(gè)人開(kāi)發(fā)者的一個(gè)可與Python交互用于定位Html中元素的軟件。lxml 4.6.5之前版本存在注入漏洞，該漏洞源于HTML Cleaner允許某些精心制作的腳本內(nèi)容以及使用數(shù)據(jù)URI嵌入的SVG文件中的腳本內(nèi)容通過(guò)。