OpenSSL是Openssl團(tuán)隊的一個開源的能夠?qū)崿F(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。OpenSSL 存在代碼問題漏洞，該漏洞源于OpenSSL中的libssl在內(nèi)部調(diào)用客戶端上的X509 verify cert()來驗證服務(wù)器提供的證書,該函數(shù)可能返回一個負(fù)的返回值來表示內(nèi)部錯誤(例如內(nèi)存不足),這樣的負(fù)返回值被OpenSSL錯誤地處理，并將導(dǎo)致IO函數(shù)(如SSL connect()或SSL do handshake())不能指示成功，隨后調(diào)用SSL get error()返回值SSL error WANT RETRY VERIFY,這個返回值只有在應(yīng)用程序之前調(diào)用SSL CTX set cert verify cal時才應(yīng)該由OpenSSL返回。

OpenSSL是Openssl團(tuán)隊的一個開源的能夠?qū)崿F(xiàn)安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協(xié)議的通用加密庫。該產(chǎn)品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。OpenSSL 存在代碼問題漏洞，該漏洞源于OpenSSL中的libssl在內(nèi)部調(diào)用客戶端上的X509 verify cert()來驗證服務(wù)器提供的證書,該函數(shù)可能返回一個負(fù)的返回值來表示內(nèi)部錯誤(例如內(nèi)存不足),這樣的負(fù)返回值被OpenSSL錯誤地處理，并將導(dǎo)致IO函數(shù)(如SSL connect()或SSL do handshake())不能指示成功，隨后調(diào)用SSL get error()返回值SSL error WANT RETRY VERIFY,這個返回值只有在應(yīng)用程序之前調(diào)用SSL CTX set cert verify cal時才應(yīng)該由OpenSSL返回。

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。KVM是其中的一個基于內(nèi)核的虛擬機(jī)。Linux Kernel 存在代碼問題漏洞，攻擊者可利用該漏洞通過kvm臟環(huán)get()強(qiáng)制在Linux內(nèi)核上解除對NULL指針的引用，以觸發(fā)拒絕服務(wù)。

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。KVM是其中的一個基于內(nèi)核的虛擬機(jī)。Linux kernel 存在安全漏洞，該漏洞源于藍(lán)牙子系統(tǒng)中存在釋放后重用漏洞，攻擊者可以可利用該漏洞造成拒絕服務(wù)。

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。KVM是其中的一個基于內(nèi)核的虛擬機(jī)。Linux kernel 存在安全漏洞，攻擊者可以通過 nfsd4_decode_bitmap() 觸發(fā) Linux 內(nèi)核的緩沖區(qū)溢出，以觸發(fā)拒絕服務(wù)，并可能運行代碼。

在Java日志庫 Apache Log4j 2 組件中存在遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞是由于Apache Log4j 2某些功能存在遞歸解析功能，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)進(jìn)行遠(yuǎn)程代碼執(zhí)行攻擊，最終獲取服務(wù)器最高權(quán)限。 需要說明的是，在系統(tǒng)安裝了Log4j組件包，且版本在受影響區(qū)間范圍內(nèi)，同時也使用該組件進(jìn)行了日志的讀寫操作的情況下，才可能受該漏洞影響。場景說明如下： 1. 安裝了Log4j組件包。 2. 安裝的Log4j組件包版本在受影響區(qū)間范圍內(nèi)。 3. 有應(yīng)用服務(wù)調(diào)用了此Log4j組件包進(jìn)行了日志的讀寫操作。

XStream存在代碼問題漏洞，遠(yuǎn)程攻擊者可以通過操縱處理后的輸入流，從遠(yuǎn)程主機(jī)加載和執(zhí)行任意代碼。

glibc（又名GNU C Library，libc6）是一種按照LGPL許可協(xié)議發(fā)布的開源免費的C語言編譯程序。GNU C Library(又稱 glibc或者libc6)2.11.3之前版本，以及2.12.x至2.12.1版本中存在漏洞，該漏洞源于在執(zhí)行特權(quán)程序期間glibc動態(tài)連接器/加載器加載DSO以對其審計API提供回調(diào)時沒有執(zhí)行充分的安全性檢查。本地攻擊者可以利用這個漏洞通過包含有不安全構(gòu)建程序的特制系統(tǒng)DSO庫提升權(quán)限。

dump包中restore程序0.4b17和更早的版本存在緩沖區(qū)溢出漏洞。本地用戶借助超長磁帶名稱可以執(zhí)行任意命令。

Libxml2存在內(nèi)存損壞漏洞。遠(yuǎn)程攻擊者可借助特制的XML文檔利用該漏洞執(zhí)行任意代碼或造成拒絕服務(wù)（內(nèi)存損壞）。

Libxml2存在內(nèi)存損壞漏洞。遠(yuǎn)程攻擊者可借助特制的XML文檔利用該漏洞執(zhí)行任意代碼或造成拒絕服務(wù)（內(nèi)存損壞）。

QEMU（Quick Emulator）是法國法布里斯-貝拉（Fabrice Bellard）個人開發(fā)者的一套模擬處理器軟件。該軟件具有速度快、跨平臺等特點。QEMU 6.2.0之前版本存在代碼問題漏洞，該漏洞源于塊鏡像層中發(fā)現(xiàn)了一個空指針解引用問題。攻擊者可利用該漏洞使主機(jī)上的QEMU進(jìn)程崩潰。

libid3tag是MPEG音頻解碼器MAD中所捆綁的ID3標(biāo)簽操控庫。libid3tag 0.15.1b及之前版本中的utf16.c文件的‘id3_utf16_deserialize()’函數(shù)存在安全漏洞，該漏洞源于程序沒有正確的解析UTF-16中用奇數(shù)位字節(jié)編碼的ID3v2標(biāo)簽。攻擊者可利用該漏洞造成拒絕服務(wù)。

Atlassian Sourcetree是澳大利亞Atlassian公司的一款免費的Git和Mercurial客戶端工具，它能夠利用可視化界面管理存儲庫?；赪indows平臺的Sourcetree 0.5a版本至3.0.10之前版本中存在命令注入漏洞。遠(yuǎn)程攻擊者可借助惡意的URI利用該漏洞在系統(tǒng)上執(zhí)行代碼。

Atlassian Sourcetree是澳大利亞Atlassian公司的一款免費的Git和Mercurial客戶端工具，它能夠利用可視化界面管理存儲庫。基于macOS平臺的Atlassian Sourcetree 1.2版本至3.1.1之前版本中存在安全漏洞。遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行代碼。