漏洞描述:Twisted 是一个基于事件的互联网应用框架,支持 Python 3.6+。 twisted.web 提供的 HTTP 1.0 和 1.1 服务器可能会无序处理管道式 HTTP 请求,可能导致信息泄露。该漏洞已在 24.7.0rc1 中修复。
发布时间:2024-11-25漏洞描述:Twisted 是一个基于事件的互联网应用框架,支持 Python 3.6+。`twisted.web.util.redirectTo` 函数包含 HTML 注入漏洞。如果应用程序代码允许攻击者控制重定向 URL,则此漏洞可能会导致重定向响应 HTML 主体中出现反射型跨站点脚本 (XSS)。此漏洞已在 24.7.0rc1 中修复。
发布时间:2024-11-25漏洞描述:在 scikit-learn 的 TfidfVectorizer 中发现了一个敏感数据泄露漏洞,具体来说是在 1.4.1.post1 及之前的版本中,该漏洞已在 1.5.0 版本中修复。该漏洞源于在 `stop_words_` 属性中意外存储了训练数据中存在的所有标记,而不是仅存储 TF-IDF 技术运行所需的标记子集。此行为可能导致敏感信息泄露,因为 `stop_words_` 属性可能包含本应丢弃而不是存储的标记,例如密码或密钥。此漏洞的影响因矢量化器正在处理的数据的性质而异。
发布时间:2024-11-25漏洞描述:HTTPS 协议没有考虑 TCP 拥塞窗口在提供内容长度信息方面的作用,这使得远程攻击者更容易利用发送第三方 cookie 的 Web 浏览器配置来获取明文数据,也就是“HEIST”攻击。
发布时间:2024-11-11漏洞描述:在 2.6.18、2.7.12 和 2.8.2 之前的版本中,Ansible 模板实现方式存在缺陷,可能导致通过意外变量替换泄露信息。通过利用意外变量替换,任何变量的内容都可能被泄露。
发布时间:2024-11-11漏洞描述:Mozilla Firefox 允许远程攻击者通过精心设计的图像导致拒绝服务(崩溃),如 zzuf lol-firefox.gif 测试用例所示。
发布时间:2024-11-11漏洞描述:Mozilla Firefox 2.0.0.17 之前版本中的 XPConnect 组件允许远程攻击者“污染 XPCNativeWrappers”并通过与 SCRIPT 元素相关的向量以 chrome 权限执行任意代码。
发布时间:2024-11-11漏洞描述:Netscape Navigator 7.0.2 和 Mozilla 允许远程攻击者通过对末尾带有额外 .(点)的域的 HTTP 请求来访问不同域中的 cookie 信息。
发布时间:2024-11-11漏洞描述:(1) Sage 1.3.10 之前的版本和 (2) Firefox 的 Sage++ 扩展中存在跨站点脚本 (XSS) 漏洞,允许远程攻击者通过 RSS 源中的“<SCRIPT/=''SRC='”序列注入任意 Web 脚本或 HTML,这与 CVE-2006-4712 漏洞不同。
发布时间:2024-11-11漏洞描述:当 HTTP 元素由延迟的 document.write 动态创建时,Mozilla Firefox 不会向用户警告 HTTPS 页面上的 HTTP 元素,这允许远程攻击者提供未经身份验证的内容并进行网络钓鱼攻击。
发布时间:2024-11-11漏洞描述:Ansible 2.7.16 及之前版本、2.8.8 及之前版本和 2.9.5 及之前版本中发现一个漏洞,当使用 svn 模块的参数“password”设置密码时,该密码会用于 svn 命令行,从而向同一节点内的其他用户泄露。攻击者可以通过从 procfs 上的特定 PID 读取 cmdline 文件来利用该漏洞。
发布时间:2024-11-11漏洞描述:使用 Ansible Vault 编辑加密文件时,Ansible Engine 中发现了一个漏洞。当用户执行“ansible-vault edit”时,同一台计算机上的另一个用户可以读取旧的和新的密钥,因为它是在使用 mkstemp 的临时文件中创建的,返回的文件描述符已关闭,并调用方法 write_data 将现有密钥写入文件中。此方法将在不安全地重新创建文件之前删除该文件。2.7.x、2.8.x 和 2.9.x 分支中的所有版本都被认为存在漏洞。
发布时间:2024-11-11漏洞描述:使用 fetch 模块时,Ansible Engine 中发现了一个漏洞。攻击者可以拦截该模块,注入新路径,然后在控制器节点上选择新的目标路径。2.7.x、2.8.x 和 2.9.x 分支中的所有版本都被认为存在漏洞。
发布时间:2024-11-11漏洞描述:由于在某些情况下未能遵守 ANSIBLE_NO_LOG 配置,ansible-core 中发现了一个信息泄露漏洞。某些任务(例如循环项)的输出中仍包含信息。根据任务的不同,此问题可能包含敏感信息,例如解密的机密值。
发布时间:2024-11-11漏洞描述:使用 amazon.aws.ec2_instance 模块中的 tower_callback 参数时,在 amazon.aws 集合中的 Ansible 中发现了一个缺陷。由于模块对参数的处理不安全,此缺陷允许攻击者利用此问题,从而导致密码在日志中泄露。
发布时间:2024-11-11红旗系统安全响应中心(RedFlag System Security Response Center)一直致力于保护广大用户的数据隐私安全,及时发现漏洞并完成修复,以便提供最便捷优质的服务。同时欢迎广大用户向我们反馈红旗产品和业务的安全漏洞,帮助我们更好的完善产品与业务。
红旗系统安全响应中心(RedFlag System Security Response Center)一直致力于保护广大用户的数据隐私安全,及时发现漏洞并完成修复,以便提供最便捷优质的服务。同时欢迎广大用户向我们反馈红旗产品和业务的安全漏洞,帮助我们更好的完善产品与业务。