升級(jí)包下載：SP_003_n_upgrade_package_2021-09-10.zip

CVE-2006-4339: Oracle 2007年1月更新修復(fù)多個(gè)安全漏洞   Oracle Database是一款商業(yè)性質(zhì)大型數(shù)據(jù)庫(kù)系統(tǒng)。 
Oracle發(fā)布了2007年1月的緊急補(bǔ)丁更新公告，修復(fù)了多個(gè)Oracle產(chǎn)品中的多個(gè)漏洞。這些漏洞影響Oracle產(chǎn)品的所有安全屬性，可導(dǎo)致本地和遠(yuǎn)程的威脅。其中一些漏洞可能需要各種級(jí)別的授權(quán)，但也有些不需要任何授權(quán)。最嚴(yán)重的漏洞可能導(dǎo)致完全入侵?jǐn)?shù)據(jù)庫(kù)系統(tǒng)。目前已知的漏洞包括： 
1) 如果向Oracle通知服務(wù)(ONS，默認(rèn)端口6200/TCP)發(fā)送了特制報(bào)文的話(huà)，就可能觸發(fā)緩沖區(qū)溢出； 
2) Oracle XML DB沒(méi)有正確過(guò)濾某些輸入便返回給用戶(hù)，可能導(dǎo)致在用戶(hù)的瀏覽器會(huì)話(huà)中執(zhí)行任意HTML和腳本代碼； 
3) DBMS_AQ_INV軟件包沒(méi)有正確過(guò)濾某些輸入便用到了SQL查詢(xún)中，導(dǎo)致SQL注入攻擊； 
4) EmChartBean中的輸入驗(yàn)證錯(cuò)誤可能導(dǎo)致通過(guò)目錄遍歷攻擊訪(fǎng)問(wèn)Web根目錄以外的文件； 
5) Oracle Database Server的DBMS_LOGMNR軟件包中提供了用于初始化LogMiner工具的過(guò)程，該軟件的ADD_LOGFILE過(guò)程中存在緩沖區(qū)溢出。任何對(duì)SYS.DBMS_LOGMNR擁有EXECUTE權(quán)限的數(shù)據(jù)庫(kù)用戶(hù)都可以利用這個(gè)漏洞執(zhí)行任意代碼或殺死Oracle服務(wù)進(jìn)程； 
6) Oracle Database Server的DBMS_LOGREP_UTIL軟件包中的GET_OBJECT_NAME過(guò)程存在緩沖區(qū)溢出。任何對(duì)SYS.DBMS_LOGREP_UTIL擁有EXECUTE權(quán)限的數(shù)據(jù)庫(kù)用戶(hù)都可以利用這個(gè)漏洞執(zhí)行任意代碼或殺死Oracle服務(wù)進(jìn)程； 
7) Oracle Database Server的DBMS_REPCAT_UNTRUSTED軟件包中的UNREGISTER_SNAPSHOT過(guò)程存在緩沖區(qū)溢出。任何對(duì)SYS.DBMS_REPCAT_UNTRUSTED擁有EXECUTE權(quán)限的數(shù)據(jù)庫(kù)用戶(hù)都可以利用這個(gè)漏洞執(zhí)行任意代碼或殺死Oracle服務(wù)進(jìn)程； 
8) Oracle Database Server的DBMS_DRS軟件包中的GET_PROPERTY函數(shù)存在緩沖區(qū)溢出。任何對(duì)SYS.DBMS_DRS擁有EXECUTE權(quán)限的數(shù)據(jù)庫(kù)用戶(hù)都可以利用這個(gè)漏洞執(zhí)行任意代碼或殺死Oracle服務(wù)進(jìn)程； 
9) Oracle Database Server的MDSYS.MD軟件包中的很多公開(kāi)過(guò)程存在緩沖區(qū)溢出。默認(rèn)下MDSYS.MD對(duì)PUBLIC開(kāi)放EXECUTE權(quán)限，因此任何Oracle數(shù)據(jù)庫(kù)用戶(hù)都可以利用這個(gè)漏洞執(zhí)行任意代碼或殺死Oracle服務(wù)進(jìn)程； 
10) Oracle Database Server的DBMS_CAPTURE_ADM_INTERNAL軟件包中的CREATE_CAPTURE、ALTER_CAPTURE、ABORT_TABLE_INSTANTIATION過(guò)程存在緩沖區(qū)溢出。任何對(duì)SYS.DBMS_CAPTURE_ADM_INTERNAL軟件擁有EXECUTE權(quán)限的用戶(hù)都可以利用這個(gè)漏洞執(zhí)行任意代碼或殺死Oracle服務(wù)進(jìn)程。目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，補(bǔ)丁下載鏈接： 
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o CNNVD-200609-044

      CVE-2009-0591  : OpenSSL 程序CMS_verify 安全繞過(guò)漏洞  OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。 
OpenSSL的CMS_verify()函數(shù)在處理畸形的簽名屬性時(shí)沒(méi)有正確地處理出錯(cuò)情況，可能導(dǎo)致應(yīng)用將畸形的簽名屬性集處理為有效，繞過(guò)之后的檢查。成功利用這個(gè)漏洞要求OpenSSL啟用了CMS且訪(fǎng)問(wèn)了之前生成的無(wú)效簽名。 目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，補(bǔ)丁下載鏈接： 
http://security.FreeBSD.org/advisories/ CNNVD-200903-478

     CVE-2011-3207 OpenSSL CRL繞過(guò)漏洞 OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。 
OpenSSL 1.0.0至1.0.0d版本的內(nèi)部證書(shū)驗(yàn)證中存在安全繞過(guò)漏洞。攻擊者可利用該漏洞導(dǎo)致OpenSSL接受帶有“nextUpdate”字段的CRL（Certificate Revocation Lists），并設(shè)置成過(guò)去的日期。 目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)此安全問(wèn)題，補(bǔ)丁獲取鏈接： 
http://openssl.org/news/secadv_20110906.txt CNNVD-201109-061

     CVE-2011-3210: OpenSSL Ephermal ECDH Ciphersuites拒絕服務(wù)漏洞 OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。 
OpenSSL 0.9.8至0.9.8s版本和1.0.0e之前的1.0.x版本的Ephermal ECDH Ciphersuites實(shí)現(xiàn)中存在拒絕服務(wù)漏洞。遠(yuǎn)程攻擊者可通過(guò)發(fā)送帶有無(wú)效命令的握手信息使受影響服務(wù)器崩潰，導(dǎo)致拒絕服務(wù)。 目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)此安全問(wèn)題，補(bǔ)丁獲取鏈接： 
http://openssl.org/news/secadv_20110906.txt CNNVD-201109-060

     CVE-2012-2110 OpenSSL緩沖區(qū)錯(cuò)誤漏洞 OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。 
OpenSSL 0.9.8v之前版本，1.0.0i之前的1.0.0版本和1.0.1a之前的1.0.1版本中的asn1_d2i_read_bio函數(shù)中存在漏洞，該漏洞源于未正確解釋整數(shù)數(shù)據(jù)。遠(yuǎn)程攻擊者可利用該漏洞借助特制DER數(shù)據(jù)導(dǎo)致緩沖區(qū)溢出攻擊，拒絕服務(wù)（內(nèi)存破壞）或造成其他未明影響。此漏洞已被X.509證書(shū)或RSA公鑰證實(shí)。 目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)此安全問(wèn)題，補(bǔ)丁獲取鏈接： 
http://www.openssl.org/ CNNVD-201204-427

     CVE-2021-29980, CVE-2021-29984, CVE-2021-29985, CVE-2021-29986, CVE-2021-29988, CVE-2021-29989 CentOS:雷鳥(niǎo)的安全建議(CESA-2021:3160) CVE-2021-29980:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于Uninitialized memory中未初始化的內(nèi)存可能導(dǎo)致內(nèi)存損壞。
CVE-2021-29984:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于JIT 優(yōu)化期間指令重新排序不正確。
CVE-2021-29985:Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開(kāi)源Web瀏覽器。 
Mozilla Firefox 存在資源管理錯(cuò)誤漏洞，該漏洞源于媒體渠道中的釋放后使用。
CVE-2021-29986:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于解析 DNS 名稱(chēng)時(shí)的競(jìng)爭(zhēng)條件可能導(dǎo)致內(nèi)存損壞。
CVE-2021-29988:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于樣式處理不正確。
CVE-2021-29989:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞可能允許攻擊者運(yùn)行任意代碼。  CVE-2021-29980:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29984:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29985:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-33/
CVE-2021-29986:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29988:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29989:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CNNVD-202108-908,CNNVD-202108-906,CNNVD-202108-903,CNNVD-202108-900,CNNVD-202108-898,CNNVD-202108-899


     CVE-2021-29980, CVE-2021-29984, CVE-2021-29985, CVE-2021-29986, CVE-2021-29988, CVE-2021-29989 : Debian: firefox-esr安全建議(DSA-4956-1)  CVE-2021-29980:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于Uninitialized memory中未初始化的內(nèi)存可能導(dǎo)致內(nèi)存損壞。
CVE-2021-29984:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于JIT 優(yōu)化期間指令重新排序不正確。
CVE-2021-29985:Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開(kāi)源Web瀏覽器。 
Mozilla Firefox 存在資源管理錯(cuò)誤漏洞，該漏洞源于媒體渠道中的釋放后使用。
CVE-2021-29986:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于解析 DNS 名稱(chēng)時(shí)的競(jìng)爭(zhēng)條件可能導(dǎo)致內(nèi)存損壞。
CVE-2021-29988:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于樣式處理不正確。
CVE-2021-29989:Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶(hù)端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。 
Mozilla Thunderbird 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞可能允許攻擊者運(yùn)行任意代碼。
CVE-2021-29980:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29984:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29985:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-33/
CVE-2021-29986:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29988:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CVE-2021-29989:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.mozilla.org/en-US/security/advisories/mfsa2021-35/
CNNVD-202108-908,CNNVD-202108-906,CNNVD-202108-903,CNNVD-202108-900,CNNVD-202108-898,CNNVD-202108-899
CVE-2021-34556, CVE-2021-35477 Fedora:內(nèi)核安全建議(Fedora -2021-54ee631709) CVE-2021-34556:Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。 
Linux kernel 5.13.7版本及之前版本存在安全漏洞，該漏洞允許攻擊者從內(nèi)核內(nèi)存中獲取敏感信息。
CVE-2021-35477:Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。 
Linux kernel 5.13.7版本及之前版本存在安全漏洞，該漏洞允許攻擊者從內(nèi)核內(nèi)存中獲取敏感信息。
CVE-2021-34556:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://access.redhat.com/security/cve/cve-2021-34556
CVE-2021-35477:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://access.redhat.com/security/cve/cve-2021-35477
CNNVD-202108-003,CNNVD-202108-004
CVE-2021-27097, CVE-2021-27138,  Huawei EulerOS: uboot-tools安全建議(EulerOS- sa -2021-2284)CVE-2021-27097:Das U-Boot是一款主要用于嵌入式系統(tǒng)的開(kāi)機(jī)加載程序。該程序支持PPC、ARM、AVR32、MIPS、x86、68k、Nios與MicroBlaze等多種不同的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)。 
U-Boot before 2021.04-rc2 存在安全漏洞，該漏洞源于加載程序錯(cuò)誤地處理了修改后的FIT。
CVE-2021-27138:Das U-Boot是一款主要用于嵌入式系統(tǒng)的開(kāi)機(jī)加載程序。該程序支持PPC、ARM、AVR32、MIPS、x86、68k、Nios與MicroBlaze等多種不同的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)。 
Das U-Boot before 2021.04-rc2 存在安全漏洞，該漏洞源于引導(dǎo)加載程序錯(cuò)誤地處理了單元地址的使用。
CVE-2021-27097:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://github.com/u-boot/u-boot/commit/b6f4c757959f8850e1299a77c8e5713da78e8ec0
CVE-2021-27138:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://github.com/u-boot/u-boot/commit/b6f4c757959f8850e1299a77c8e5713da78e8ec0
CNNVD-202102-1268,CNNVD-202102-1267
CVE-2021-3672   libcares2安全漏洞,libcares2是openSUSE項(xiàng)目的一個(gè) C 庫(kù)，可以異步執(zhí)行 DNS 請(qǐng)求和名稱(chēng)解析。 
libcares2 存在安全漏洞，該漏洞源于對(duì)主機(jī)名的輸入驗(yàn)證不當(dāng)。 目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.suse.com/support/update/announcement/2021/suse-su-202114776-1/ CNNVD-202108-883
CVE-2021-36222  MIT Kerberos 代碼問(wèn)題漏洞  MIT Kerberos是美國(guó)麻省理工（MIT）的一個(gè)用于在網(wǎng)絡(luò)集群中進(jìn)行身份驗(yàn)證的軟件。Kerberos 同時(shí)作為一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過(guò)密鑰系統(tǒng)為客戶(hù)機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。 
MIT Kerberos 5 1.18.4 之前版本及1.19.2之前的1.19.x版本存在安全漏洞，該漏洞源于這是因?yàn)榉祷刂禌](méi)有得到正確的管理，導(dǎo)致守護(hù)進(jìn)程崩潰。 目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://advisories.stormshield.eu/2021-010/ CNNVD-202105-100
CVE-2020-7774, CVE-2021-23362, CVE-2021-27290  nodejs8的安全建議(openSUSE- su -2021:1113-1) CVE-2020-7774:Yargs Y18n是Yargs個(gè)人開(kāi)發(fā)者的一個(gè)類(lèi)似I18n的由Js編寫(xiě)的代碼庫(kù)。 
y18n before 3.2.2, 4.0.1 and 5.0.5版本存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未對(duì)輸入的數(shù)據(jù)進(jìn)行正確的驗(yàn)證。
CVE-2021-23362:Ruy Adorno hosted-git-info是Ruy Adorno開(kāi)源的一個(gè)應(yīng)用程序。提供識(shí)別和轉(zhuǎn)換協(xié)議之間的各種git主機(jī)URL。 
hosted-git-info before 3.0.8 存在安全漏洞，該漏洞源于容易受到來(lái)自fromUrl()的shortcutMatch正則表達(dá)式拒絕服務(wù)(ReDoS)的攻擊。
CVE-2021-27290:nlf ssri是 （nlf）開(kāi)源的一個(gè)應(yīng)用軟件。提供Standard Subresource Integrity（標(biāo)準(zhǔn)子資源完整性）的縮寫(xiě)，是一個(gè)Node.js實(shí)用程序，用于解析，操作，序列化，生成和驗(yàn)證Subresource Integrity哈希值。 
ssri 5.2.2-8.0.0 存在安全漏洞，該漏洞源于使用正則表達(dá)式處理SRIs，該正則表達(dá)式容易被拒絕服務(wù)。惡意的SRIs可能需要非常長(zhǎng)的時(shí)間來(lái)處理，從而導(dǎo)致拒絕服務(wù)。CVE-2020-7774:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://github.com/yargs/y18n/pull/108
CVE-2021-23362:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://github.com/npm/hosted-git-info/commit/bede0dc38e1785e732bf0a48ba6f81a4a908eba3
CVE-2021-27290:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://doyensec.com/resources/Doyensec_Advisory_ssri_redos.pdf
CNNVD-202011-1554,CNNVD-202103-1324,CNNVD-202103-889
CVE-2004-0079 OpenSSL SSL握手NULL指針拒絕服務(wù)攻擊漏洞 ,OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。OpenSSL在處理SSL/TLS握手實(shí)現(xiàn)時(shí)存在問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞使OpenSSL崩潰。使用Codenomicon TLS測(cè)試工具，OpenSSL發(fā)現(xiàn)在do_change_cipher_spec()函數(shù)中存在一個(gè)NULL指針?lè)峙?。遠(yuǎn)程攻擊者可以構(gòu)建特殊的SSL/TLS握手，發(fā)送給使用OpenSSL庫(kù)的服務(wù)器，可導(dǎo)致OpenSSL崩潰，依賴(lài)此庫(kù)的應(yīng)用程序會(huì)產(chǎn)生拒絕服務(wù)。
CVE-2008-0891, CVE-2008-1672  OpenSSL: Multiple vulnerability (20080528) - Linux檢測(cè)   CVE-2008-0891:OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。 
當(dāng)TLS服務(wù)器名稱(chēng)擴(kuò)展啟用時(shí)，OpenSSL 0.9.8f和0.9.8g在處理畸形連接時(shí)存在雙重釋放漏洞。遠(yuǎn)程攻擊者可借助畸形Client Hello包導(dǎo)致拒絕服務(wù)（崩潰）。
當(dāng)用以下命令行運(yùn)行OpenSSL時(shí)： 
openssl s_server -key path_to_key \
-cert path_to_certificate \
-www `openssl ciphers 'ALL:COMPLEMENTOFALL'`
如果接收到的Client Hello報(bào)文中服務(wù)器名稱(chēng)擴(kuò)展將server_name設(shè)置為0x00且名稱(chēng)長(zhǎng)度為1，則程序在325行的ssl/t1_lib.c文件檢測(cè)到錯(cuò)誤的主機(jī)名并結(jié)束握手，之后試圖釋放已經(jīng)釋放的指針，導(dǎo)致OpenSSL出現(xiàn)分段錯(cuò)誤崩潰。openssl程序默認(rèn)不允許處理TLS擴(kuò)展，必須在編譯時(shí)明確地啟用。
在用以下命令行運(yùn)行openssl時(shí)：
openssl s_client -connect localhost:4433 -cipher \ 
`openssl ciphers 'ALL:COMPLEMENTOFALL'` -debug -msg
openssl向服務(wù)器發(fā)送Client Hello消息，服務(wù)器用Server Hello消息響應(yīng)(選擇了TLS_DH_ANON_WITH_RC4_128_MD5密碼組)，然后是Server Hello Done消息(忽略Server Key Exchange消息)。ssl3_get_key_exchange()允許忽略Server Key Exchange消息，但s->session->sess_cert為空且ssl3_get_server_done()沒(méi)有執(zhí)行任何檢查，客戶(hù)端狀態(tài)機(jī)器繼續(xù)執(zhí)行到ssl3_send_client_key_exchange()且沒(méi)有檢查s->session->sess_cert的有效性便試圖引用(s3_clntl.c:1970)。如果客戶(hù)端使用特殊的密碼組連接到了惡意的服務(wù)器，服務(wù)器就會(huì)導(dǎo)致客戶(hù)端崩潰。
CVE-2008-1672:OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。 
OpenSSL 0.9.8f和0.9.8g中存在授權(quán)問(wèn)題漏洞。遠(yuǎn)程攻擊者可借助TLS握手忽略服務(wù)器密鑰交換信息和應(yīng)用特殊密碼組導(dǎo)致空指針解引用，拒絕服務(wù)合法用戶(hù)。 CVE-2008-0891:目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，補(bǔ)丁下載鏈接： 
http://www.openssl.org/source/openssl-0.9.8h.tar.gz
CVE-2008-1672:目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，補(bǔ)丁下載鏈接： 
http://www.openssl.org/source/openssl-0.9.8h.tar.gz
CNNVD-200805-364,CNNVD-200805-369
CVE-2012-2110:  OpenSSL緩沖區(qū)錯(cuò)誤漏洞  OpenSSL是OpenSSL團(tuán)隊(duì)開(kāi)發(fā)的一個(gè)開(kāi)源的能夠?qū)崿F(xiàn)安全套接層（SSL v2/v3）和安全傳輸層（TLS v1）協(xié)議的通用加密庫(kù)，它支持多種加密算法，包括對(duì)稱(chēng)密碼、哈希算法、安全散列算法等。 
OpenSSL 0.9.8v之前版本，1.0.0i之前的1.0.0版本和1.0.1a之前的1.0.1版本中的asn1_d2i_read_bio函數(shù)中存在漏洞，該漏洞源于未正確解釋整數(shù)數(shù)據(jù)。遠(yuǎn)程攻擊者可利用該漏洞借助特制DER數(shù)據(jù)導(dǎo)致緩沖區(qū)溢出攻擊，拒絕服務(wù)（內(nèi)存破壞）或造成其他未明影響。此漏洞已被X.509證書(shū)或RSA公鑰證實(shí)。 目前廠(chǎng)商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)此安全問(wèn)題，補(bǔ)丁獲取鏈接： 
http://www.openssl.org/ CNNVD-201204-427
CVE-2021-21704, CVE-2021-21705  :openSUSE: Security Advisory for php7 (openSUSE- su -2021:2637-1)檢測(cè)  ,CVE-2021-21704:EasyApache是Apache基金會(huì)的一個(gè)功能強(qiáng)大且易于使用的工具，內(nèi)置在WHM/cPanel中，可以使用它來(lái)更新和配置Apache web服務(wù)器。 
EasyApache 存在安全漏洞，該漏洞源于EasyApache中PDO_Firebird的緩沖區(qū)溢出。攻擊者可利用該漏洞觸發(fā)拒絕服務(wù)，并可能運(yùn)行代碼。
CVE-2021-21705:EasyApache是Apache基金會(huì)的一個(gè)功能強(qiáng)大且易于使用的工具，內(nèi)置在WHM/cPanel中，可以使用它來(lái)更新和配置Apache web服務(wù)器。 
EasyApache存在代碼問(wèn)題漏洞，攻擊者可利用該漏洞通過(guò)PHP的FILTER VALIDATE URL欺騙用戶(hù)，以便將其重定向到惡意站點(diǎn)。
CVE-2021-21704:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.php.net/ChangeLog-7.php#7.3.29
CVE-2021-21705:目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.reddit.com/r/PHP/comments/obnqh9/php_security_release_808_7421_and_7329/。
CNNVD-202107-056,CNNVD-202107-026
CVE-2021-3711   OpenSSL: SM2解密緩沖區(qū)溢出(20210824)- Windows  OpenSSL容易出現(xiàn)緩沖區(qū)溢出漏洞。 OpenSSL is prone to a buffer overflow vulnerability. 升級(jí)到版本1.1.1.1或更高。
CVE-2021-3712 OpenSSL: Read Buffer Overruns Processing ASN.1 Strings (20210824檢測(cè) OpenSSL容易出現(xiàn)緩沖區(qū)溢出漏洞。 OpenSSL is prone to a buffer overflow vulnerability. 更新到1.0.2za, 1.1.1.1 l或更高版本。
CVE-2020-14664  Oracle Java SE JavaFX組件安全漏洞  Oracle Java SE是美國(guó)甲骨文（Oracle）公司的一款用于開(kāi)發(fā)和部署桌面、服務(wù)器以及嵌入設(shè)備和實(shí)時(shí)環(huán)境中的Java應(yīng)用程序。 
Oracle Java SE 8u251版本中的JavaFX組件存在安全漏洞。攻擊者可利用該漏洞控制Java SE，影響數(shù)據(jù)的可用性、保密性和完整性。 The host is installed with Oracle Java SE
and is prone to security vulnerability. 目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接： 
https://www.oracle.com/security-alerts/cpujul2020.html CNNVD-202007-748