cpython 存在環(huán)境問題漏洞，攻擊者可利用該漏洞使用分號(;)分隔查詢參數(shù)，導致惡意請求被緩存為完全安全的請求。

在 libcurl 處理以前使用的連接的方式中發(fā)現(xiàn)了一個漏洞，沒有考慮“頒發(fā)者證書”并且不區(qū)分大小寫地比較所涉及的路徑。此漏洞允許 libcurl 使用錯誤的連接。此漏洞的最大威脅是機密性。

在 xdg-utils-1.1.0-rc1 和更新版本的 xdg-email 組件中發(fā)現(xiàn)了一個漏洞。在處理 mailto: URI 時，xdg-email 允許在傳遞給 Thunderbird 時通過 URI 謹慎添加附件。攻擊者可能會向受害者發(fā)送一個 URI，該 URI 會自動將敏感文件附加到新電子郵件。如果受害者用戶沒有注意到添加了附件并發(fā)送了電子郵件，這可能會導致敏感信息泄露。已經(jīng)確認這個問題背后的代碼在 xdg-email 中而不是在 Thunderbird 中。

Linux kernel 存在安全漏洞，攻擊者可利用該漏洞通過Linux內(nèi)核的sco send frame()函數(shù)強制使用已釋放的內(nèi)存區(qū)域，從而觸發(fā)拒絕服務，并運行任意代碼。

在讀取特制的 ZIP 存檔或派生格式時，可以進行 Apache Ant 構(gòu)建以分配大量內(nèi)存，從而導致內(nèi)存不足錯誤，即使是小輸入也是如此。這可用于中斷使用 Apache Ant 的構(gòu)建。 ZIP 檔案中常用的派生格式是例如 JAR 文件和許多辦公文件。 1.9.16 和 1.10.11 之前的 Apache Ant 受到影響。

在讀取特制的 TAR 存檔時，可以進行 Apache Ant 構(gòu)建以分配大量內(nèi)存，最終導致內(nèi)存不足錯誤，即使是小輸入也是如此。這可用于中斷使用 Apache Ant 的構(gòu)建。 1.9.16 和 1.10.11 之前的 Apache Ant 受到影響。

在 python-pip 中發(fā)現(xiàn)了一個缺陷，它處理 git 引用中的 Unicode 分隔符的方式。遠程攻擊者可能會利用此問題在存儲庫上安裝不同的修訂版。此漏洞的最大威脅是數(shù)據(jù)完整性。

Apache Maven 將遵循依賴項的項目對象模型 (pom) 中定義的存儲庫，這可能會讓某些用戶感到驚訝，如果惡意行為者接管該存儲庫或能夠?qū)⒆约翰迦氲絺窝b的位置，則會導致那個存儲庫存在風險。 Maven 正在更改 3.8.1+ 中的默認行為，默認情況下不再遵循 http（非 SSL）存儲庫引用。參考網(wǎng)址中提供了更多詳細信息。如果您當前正在使用存儲庫管理器來管理構(gòu)建使用的存儲庫，則您不會受到遺留行為中存在的風險的影響，也不會受到此漏洞和默認行為更改的影響。有關存儲庫管理的更多信息，請參閱此鏈接：https://maven.apache.org/repository-management.html

0.60.8 之前的 GNU Aspell 中的 libaspell.a 在 common/getdata.cpp 中的 acommon::unescape 中有一個基于堆棧的緩沖區(qū)，通過隔離的 \ 字符進行了重讀。

Hunspell是一款開源的拼寫檢查器。Hunspell中存在緩沖區(qū)錯誤漏洞。該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時，未正確驗證數(shù)據(jù)邊界，導致向關聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區(qū)溢出或堆溢出等。

Avahi 0.8 允許通過 D-Bus 接口或“ping .local”命令對 avahi-daemon 進行本地拒絕服務（空指針取消引用和守護程序崩潰）。

在 v1.18.1 之前的 gst-plugins-bad 的 gstreamer h264 組件中發(fā)現(xiàn)了一個缺陷，在解析 h264 標頭時，攻擊者可能會導致堆棧被破壞、內(nèi)存損壞和可能的代碼執(zhí)行。

0.60.8 之前的 GNU Aspell 中的 libaspell.a 在 common/getdata.cpp 中的 acommon::unescape 中有一個基于堆棧的緩沖區(qū)，通過隔離的 \ 字符進行了重讀。

Hunspell是一款開源的拼寫檢查器。Hunspell中存在緩沖區(qū)錯誤漏洞。該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時，未正確驗證數(shù)據(jù)邊界，導致向關聯(lián)的其他內(nèi)存位置上執(zhí)行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區(qū)溢出或堆溢出等。

在 MIT krb5 版本 1.16 及更高版本中，未經(jīng)身份驗證的攻擊者可以通過發(fā)送包含 PA-ENCRYPTED-CHALLENGE padata 元素的請求而不使用 FAST，從而導致 KDC 中的空引用。