Info-ZIP UnZip是美國(guó)Greg Roelofs個(gè)人開(kāi)發(fā)者的一套基于Unix平臺(tái)的用于對(duì)“.zip”文件格式進(jìn)行解壓的工具。Info-ZIP unzip存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于寬字符串到本地字符串的轉(zhuǎn)換過(guò)程中存在安全問(wèn)題導(dǎo)致越界寫，攻擊者利用該漏洞致崩潰或代碼執(zhí)行。

Apache XML-RPC是美國(guó)阿帕奇（Apache）軟件基金會(huì)的一款XML-RPC（遠(yuǎn)程過(guò)程調(diào)用協(xié)議）的Java實(shí)現(xiàn)。Apache XML-RPC中的‘org.apache.xmlrpc.parser.XmlRpcResponseParser：addResult’方法存在代碼問(wèn)題漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼。

Info-ZIP UnZip是美國(guó)Greg Roelofs個(gè)人開(kāi)發(fā)者的一套基于Unix平臺(tái)的用于對(duì)“.zip”文件格式進(jìn)行解壓的工具。unzip 存在安全漏洞，該漏洞源于將utf-8字符串轉(zhuǎn)換為本地字符串的過(guò)程中導(dǎo)致分段錯(cuò)誤。攻擊者可利用該漏洞導(dǎo)致崩潰或代碼執(zhí)行。

Info-ZIP UnZip是美國(guó)Greg Roelofs個(gè)人開(kāi)發(fā)者的一套基于Unix平臺(tái)的用于對(duì)“.zip”文件格式進(jìn)行解壓的工具。Info-ZIP unzip存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于寬字符串到本地字符串的轉(zhuǎn)換過(guò)程中存在安全問(wèn)題導(dǎo)致越界寫，攻擊者利用該漏洞致崩潰或代碼執(zhí)行。

Perl是Perl（PERL）社區(qū)的一款通用、解釋型、動(dòng)態(tài)的跨平臺(tái)編程語(yǔ)言。Perl 5 中存在安全漏洞，該漏洞允許攻擊者對(duì)Perl5進(jìn)程的當(dāng)前目錄具有寫訪問(wèn)權(quán)從而進(jìn)行命令執(zhí)行。

Apache Log4j是美國(guó)阿帕奇（Apache）基金會(huì)的一款基于Java的開(kāi)源日志記錄工具。Apache Log4j 1.2存在代碼問(wèn)題漏洞，攻擊者可利用該漏洞通過(guò)JMSApender反序列化來(lái)運(yùn)行代碼。

在OpenSSL中發(fā)現(xiàn)一個(gè)缺陷。通過(guò)制作一個(gè)具有無(wú)效橢圓曲線參數(shù)的證書(shū)，可以觸發(fā)無(wú)限循環(huán)。由于證書(shū)解析發(fā)生在驗(yàn)證證書(shū)簽名之前，因此任何解析外部提供的證書(shū)的進(jìn)程都可能受到拒絕服務(wù)攻擊。

Apache Log4j是美國(guó)阿帕奇（Apache）基金會(huì)的一款基于Java的開(kāi)源日志記錄工具。Apache log4j 1.x存在代碼問(wèn)題漏洞，該漏洞源于在log4j的chainsaw組件中某些日志條目的內(nèi)容被反序列化并可能允許代碼執(zhí)行。攻擊者可以在運(yùn)行 chainsaw 組件時(shí)向服務(wù)器發(fā)送帶有序列化數(shù)據(jù)的請(qǐng)求，進(jìn)而執(zhí)行惡意代碼。

在OpenSSL中發(fā)現(xiàn)一個(gè)缺陷。通過(guò)制作一個(gè)具有無(wú)效橢圓曲線參數(shù)的證書(shū)，可以觸發(fā)無(wú)限循環(huán)。由于證書(shū)解析發(fā)生在驗(yàn)證證書(shū)簽名之前，因此任何解析外部提供的證書(shū)的進(jìn)程都可能受到拒絕服務(wù)攻擊。

Apache Log4j是美國(guó)阿帕奇（Apache）基金會(huì)的一款基于Java的開(kāi)源日志記錄工具。Log4j 存在代碼問(wèn)題漏洞，該漏洞源于當(dāng)攻擊者對(duì) Log4j 配置具有寫訪問(wèn)權(quán)限或配置引用攻擊者有權(quán)訪問(wèn)的 LDAP 服務(wù)時(shí)，所有 Log4j 1.x 版本中的 JMSSink 都容易受到不受信任數(shù)據(jù)的反序列化。 攻擊者可以提供一個(gè) TopicConnectionFactoryBindingName 配置，使 JMSSink 執(zhí)行 JNDI 請(qǐng)求，從而以類似于 CVE-2021-4104 的方式執(zhí)行遠(yuǎn)程代碼。 請(qǐng)注意，此問(wèn)題僅在專門配置為使用 JMSSink（不是默認(rèn)設(shè)置）時(shí)影響 Log4j 1.x。 Apache Log4j 1.2 已于 2015 年 8 月結(jié)束生命周期。用戶應(yīng)升級(jí)到 Log4j 2，因?yàn)樗鉀Q了以前版本中的許多其他問(wèn)題。

Apache Tomcat是美國(guó)阿帕奇（Apache）基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對(duì)Servlet和JavaServer Page（JSP）的支持。Apache Tomcat 存在權(quán)限許可和訪問(wèn)控制問(wèn)題漏洞，攻擊者可以通過(guò) FileStore Sessions 繞過(guò) Apache Tomcat 的限制，以提升他的權(quán)限。

Apache XML-RPC是美國(guó)阿帕奇（Apache）軟件基金會(huì)的一款XML-RPC（遠(yuǎn)程過(guò)程調(diào)用協(xié)議）的Java實(shí)現(xiàn)。Apache XML-RPC中的‘org.apache.xmlrpc.parser.XmlRpcResponseParser：addResult’方法存在代碼問(wèn)題漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼。

Perl是Perl（PERL）社區(qū)的一款通用、解釋型、動(dòng)態(tài)的跨平臺(tái)編程語(yǔ)言。Perl 5 中存在安全漏洞，該漏洞允許攻擊者對(duì)Perl5進(jìn)程的當(dāng)前目錄具有寫訪問(wèn)權(quán)從而進(jìn)行命令執(zhí)行。

在OpenSSL中發(fā)現(xiàn)一個(gè)缺陷。通過(guò)制作一個(gè)具有無(wú)效橢圓曲線參數(shù)的證書(shū)，可以觸發(fā)無(wú)限循環(huán)。由于證書(shū)解析發(fā)生在驗(yàn)證證書(shū)簽名之前，因此任何解析外部提供的證書(shū)的進(jìn)程都可能受到拒絕服務(wù)攻擊。

Xterm是Thomas Dickey個(gè)人開(kāi)發(fā)者的一個(gè) X 窗口系統(tǒng)的終端仿真器。旨在為不能直接使用窗口系統(tǒng)的程序提供 Dec Vt102 和 Tektronix 4014 兼容終端。xterm 存在安全漏洞，該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí)，未正確驗(yàn)證數(shù)據(jù)邊界，導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯(cuò)誤的讀寫操作。攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等。