BuildKit是并發(fā)、高速緩存高效且與 Dockerfile 無關(guān)的構(gòu)建器工具包。 BuildKit v0.12.4版本及之前版本存在競(jìng)爭(zhēng)條件問題漏洞，該漏洞源于允許通過構(gòu)建容器訪問主機(jī)系統(tǒng)中的文件。

BuildKit是并發(fā)、高速緩存高效且與 Dockerfile 無關(guān)的構(gòu)建器工具包。 BuildKit v0.12.4版本及之前版本存在代碼問題漏洞。攻擊者利用該漏洞導(dǎo)致 BuildKit 守護(hù)進(jìn)程因恐慌而崩潰。

Buildah是一款支持構(gòu)建OCI容器映像的工具。 Buildah 1.35.0及之前版本存在安全漏洞，該漏洞源于允許容器將主機(jī)文件系統(tǒng)上的任意位置裝載到構(gòu)建容器中。

Keycloak是一套為現(xiàn)代應(yīng)用和服務(wù)提供身份驗(yàn)證和管理功能的軟件。 Keycloak 存在安全漏洞，該漏洞源于可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者阻止其他帳戶登錄。

ISC BIND是ISC開源的一套實(shí)現(xiàn)了DNS協(xié)議的開源軟件。 ISC BIND 9存在安全漏洞，該漏洞源于使用 DNS-over-HTTPS (DoH) 的客戶端可以通過向 DNS 解析器中注入精心設(shè)計(jì)的有效或無效的 HTTP/2 流量來耗盡其 CPU 和/或內(nèi)存。

Google Golang是美國(guó)谷歌（Google）公司的一種靜態(tài)強(qiáng)類型、編譯型語言。Go的語法接近C語言，但對(duì)于變量的聲明有所不同。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進(jìn)程（CSP）為基礎(chǔ)，采取類似模型的其他語言包括Occam和Limbo，但它也具有Pi運(yùn)算的特征，比如通道傳輸。在1.8版本中開放插件（Plugin）的支持，這意味著現(xiàn)在能從Go中動(dòng)態(tài)加載部分函數(shù)。 Google Golang存在跨站腳本漏洞，該漏洞源于不在 HTML 命名空間中的文本節(jié)點(diǎn)會(huì)被錯(cuò)誤地逐字呈現(xiàn)，導(dǎo)致應(yīng)該轉(zhuǎn)義的文本不存在。

Buildah是一款支持構(gòu)建OCI容器映像的工具。 Buildah存在安全漏洞。攻擊者利用該漏洞導(dǎo)致保密性受到影響。

Bulidah是Containers開源的一個(gè)開源、基于 Linux 的工具。用于構(gòu)建與開放容器倡議（OCI）兼容的容器。 Bulidah存在后置鏈接漏洞，該漏洞源于Symlink錯(cuò)誤導(dǎo)致信息泄露。

OpenSSH（OpenBSD Secure Shell）是一套用于安全訪問遠(yuǎn)程計(jì)算機(jī)的連接工具。該工具是SSH協(xié)議的開源實(shí)現(xiàn)，支持對(duì)所有的傳輸進(jìn)行加密，可有效阻止竊聽、連接劫持以及其他網(wǎng)絡(luò)級(jí)的攻擊。OpenSSH 9.5p1版本至9.9p1版本存在資源管理錯(cuò)誤漏洞，該漏洞源于惡意客戶端發(fā)送大量ping包，導(dǎo)致內(nèi)存消耗失控，可能引發(fā)拒絕服務(wù)。

在版本為 6.0.26 之前的 Phusion Passenger 6.0.21 至 6.0.25 中，其 HTTP 解析器在解析包含無效 HTTP 方法的請(qǐng)求時(shí)，會(huì)導(dǎo)致拒絕服務(wù)（DoS）問題。

該漏洞源于在大小計(jì)算中未考慮路徑分隔符，導(dǎo)致 squashfs 目錄列表的堆內(nèi)存損壞。

sqfs_inode_size 函數(shù)存在整數(shù)溢出問題，該問題會(huì)在通過特制的 SquashFS 文件系統(tǒng)進(jìn)行符號(hào)鏈接大小計(jì)算時(shí)出現(xiàn)

libdwarf存在資源管理錯(cuò)誤漏洞，該漏洞源于存在雙重釋放漏洞

在 Go 語言（Golang）的 RSA 加密 / 解密代碼中發(fā)現(xiàn)了一個(gè)內(nèi)存泄漏漏洞，攻擊者可以利用可控輸入利用該漏洞，可能會(huì)導(dǎo)致資源耗盡問題

該漏洞利用難度較大，未經(jīng)身份驗(yàn)證的攻擊者可通過多種協(xié)議進(jìn)行網(wǎng)絡(luò)訪問，從而危害Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業(yè)版。成功利用此漏洞可導(dǎo)致未經(jīng)授權(quán)地對(duì)部分可訪問的Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業(yè)版數(shù)據(jù)進(jìn)行更新、插入或刪除操作，以及未經(jīng)授權(quán)地讀取部分可訪問的Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業(yè)版數(shù)據(jù)