| 类别 | 漏洞名称 | 漏洞级别 | 漏洞描述 | 安全补丁下载地址 |
操作系统 | CentOS 6:内核(CESA-2018:2390)(Foreshadow) | high | *现代操作系统实现物理内存虚拟化,以有效利用可用系统资源,并通过访问控制和隔离提供域间保护。L1TF问题在x86微处理器设计实现指令的推测执行(常用的性能优化)以及处理由终止的虚拟到物理地址解析过程引起的页面错误的方式中找到。因此,非特权攻击者可以利用此漏洞读取内核或其他进程的特权内存和/或跨客户/主机边界,以通过进行目标缓存侧通道攻击来读取主机内存。
(CVE-2018-3620,CVE-2018-3646)
*许多现代微处理器设计已经实现了超过边界检查的指令的推测执行的方式中发现了一个行业范围的问题。该缺陷依赖于特权代码中存在精确定义的指令序列以及存储器写入发生在依赖于不可信值的地址的事实。这样的写入导致微处理器的数据高速缓存的更新,即使对于从未实际提交(退出)的推测性执行的指令也是如此。因此,非特权攻击者可以利用此漏洞通过进行有针对性的缓存侧通道攻击来影响推测性执行和/或读取特权内存。
(CVE-2018-3693)
*在Linux内核处理特制TCP数据包的方式中发现了一个名为SegmentSmack的漏洞。远程攻击者可以利用此漏洞通过在正在进行的TCP会话中发送特别修改的数据包来触发时间和计算对tcp_collapse_ofo_queue()和tcp_prune_ofo_queue()函数的昂贵调用,这可能导致CPU饱和,从而导致系统上的拒绝服务。维持拒绝服务条件需要连续的双向TCP会话到可达的开放端口,因此无法使用欺骗的IP地址执行攻击。 | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6/7:jasper(CESA-2017:1208) | high | 在JasPer解码JPEG 2000图像文件的方式中发现了多个缺陷。特制文件可能导致使用JasPer的应用程序崩溃或可能执行任意代码。(CVE-2016-8654,CVE-2016-9560,CVE-2016-10249,CVE-2015-5203,CVE-2015-5221,CVE-2016-1577,CVE-2016-8690,CVE-2016-8693,CVE -2016-8884,CVE-2016-8885,CVE-2016-9262,CVE-2016-9591) | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/
|
| CentOS 6 / 7 : libtiff (CESA-2017:0225) | high | 在libtiff中发现了多个漏洞。远程攻击者可以利用这些漏洞导致崩溃或内存损坏,并可能通过欺骗链接到libtiff的应用程序来处理特制文件来执行任意代码。 | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6/7:libxml2(CESA-2016:1292):更新受影响的libxml2软件包。 | critical | 在libxml2解析某些精心设计的XML输入的方式中发现了一个基于堆的缓冲区溢出漏洞。远程攻击者可以提供特制的XML文件,当在针对libxml2链接的应用程序中打开时,会导致应用程序崩溃或使用运行应用程序的用户的权限执行任意代码。 | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6:ntp(CESA-2017:3071):更新受影响的ntp软件包。 | high | *在NTP服务器解析配置指令时发现了两个漏洞。经过身份验证的远程攻击者可能会通过发送精心制作的消息导致ntpd崩溃。(CVE-2017-6463,CVE-2017-6464)
*在解析来自/ dev / datum设备的数据包时,在NTP中发现了一个漏洞。恶意设备可能会发送精心设计的邮件,导致ntpd崩溃。(CVE-2017-6462) | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6/7:openssl(CESA-2017:0286):更新受影响的openssl软件包。 | high | *在OpenSSL中发现导致超出读取缺陷的整数下溢。如果使用RC4-MD5密码套件,远程攻击者可能会使用此漏洞使用OpenSSL使32位TLS / SSL服务器或客户端崩溃。(CVE-2017-3731)
*在TLS / SSL协议定义的连接握手期间处理ALERT数据包的方式中发现了拒绝服务缺陷。远程攻击者可能会利用此漏洞使TLS / SSL服务器消耗过多的CPU,并且无法接受来自其他客户端的连接。(CVE-2016-8610) | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6 : bind (CESA-2018:2571) | high | 在BIND构建对满足特定条件的查询的响应的方式中发现了拒绝服务缺陷。远程攻击者可以通过特制的DNS请求数据包使用此缺陷意外地通过断言失败进行命名退出。 | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6:httpd(CESA-2017:2972)(Optionsbleed):更新受影响的httpd包。 | high | *在httpd处理.htaccess文件中使用的Limit指令中指定的无效和以前未注册的HTTP方法的方式中发现了一个释放后使用的缺陷。远程攻击者可能会使用此漏洞来泄露部分服务器内存,或导致httpd子进程崩溃。(CVE-2017-9798)
*在Red Hat Enterprise Linux 6.9版本的httpd中发现了回归,导致'Allow'和'Deny'配置行中的注释被错误地解析。Web管理员可能无意中允许任何客户端访问受限制的HTTP资源。 | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6 : libarchive (CESA-2016:1850) | high | 在libarchive处理非零大小的hardlink存档条目的方式中发现了一个漏洞。结合libarchive的文件系统沙盒中的缺陷,此问题可能导致使用libarchive的应用程序使用归档中的任意数据覆盖任意文件。(CVE-2016-5418)
*在libarchive中发现了多个越界读取缺陷。
特制AR或MTREE文件可能导致应用程序读取数据超出范围,可能泄露少量应用程序内存或导致应用程序崩溃。(CVE-2015-8920,CVE-2015-8921)
*在libarchive处理GZIP流时发现了拒绝服务漏洞。精心设计的GZIP文件可能导致libarchive分配过多的内存,最终导致崩溃。
(CVE-2016-7166)
* libarchive中发现了拒绝服务漏洞。包含指向大型目标路径的符号链接的特制CPIO存档可能导致内存分配失败,导致使用libarchive的应用程序尝试查看或提取此类存档以使其崩溃。(CVE-2016-4809)
*在libarchive中发现了由于算术溢出导致的多个未定义行为实例。特制的压缩流或ISO9660卷可能会导致应用程序无法读取存档或崩溃。(CVE-2015-8932,CVE-2016-5844)
| yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
| CentOS 6/7:nss(CESA-2017:2832):更新受影响的nss包。 | high | *使用客户端身份验证时,在NSS库的TLS 1.2实现中发现了使用后免费漏洞。恶意客户端可以使用此缺陷导致针对NSS编译的应用程序崩溃,或者可能在运行应用程序的用户的许可下执行任意代码。(CVE-2017-7805) | yum源: http://mirrors.huaweicloud.com/centos/6.10/centosplus/x86_64/Packages/ |
数据库 | CentOS 6 : mysql (CESA-2017:0184) | CRITICAL | *发现MySQL日志记录功能允许写入MySQL配置文件。管理数据库用户或具有FILE权限的数据库用户可能会使用此缺陷在运行数据库服务器的系统上以root权限运行任意命令。(CVE-2016-6662)
*在MySQL执行MyISAM引擎表修复的方式中发现了竞争条件。对运行mysqld的服务器具有shell访问权限的数据库用户可以使用此缺陷来更改mysql系统用户可写的任意文件的权限。(CVE-2016-6663,CVE-2016-5616) | yum源: http://mirrors.huaweicloud.com/centos/6.10/os/x86_64/Packages/ |
