Hitachi Energy aktualizuje swoje produkty.(P23-212)
cert.pse-online.pl 1 rok temu
Produkt
AFF660/665: Firmware 03.0.02 and prior
CVE
CVE-2021-43523
Krytyczność
9.6/10
CVSS
AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Opis
W uClibc i uClibc-ng przed wersją 1.0.39 nieprawidłowa obsługa znaków specjalnych w nazwach domen Serwery DNS zwracane przez gethostbyname, getaddrinfo, gethostbyaddr i getnameinfo mogą prowadzić do wyprowadzania błędnych nazw hostów (co prowadzi do przejęcia domeny) lub wstrzykiwania do aplikacji (prowadząc do do zdalnego wykonania kodu, XSS, awarii aplikacji itp.).
Uaktualnienie
Tak
CVE
CVE-2020-13817
Krytyczność
7.4/10
CVSS
AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H
Opis
ntpd w ntp przed 4.2.8p14 i 4.3.x przed 4.3.100 może pozwolić zdalnym atakującym na spowodowanie odmowy usługi (wyjście demona lub zmiana czasu systemowego) poprzez przewidywanie znaczników czasu transmisji do wykorzystania w sfałszowanych pakietach.
Uaktualnienie
Tak
CVE
CVE-2020-11868
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
ntpd w ntp przed 4.2.8p14 i 4.3.x przed 4.3.100 może pozwolić atakującemu na zablokowanie nieuwierzytelnionej synchronizacji za pośrednictwem pakietu trybu serwera ze sfałszowanym źródłowym adresem IP
Uaktualnienie
Tak
CVE
CVE-2019-11477
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
Wartość TCP_SKB_CB(skb)->tcp_gso_segs podlega przepełnieniu liczb całkowitych w jądrze Linuksa podczas obsługi potwierdzeń selektywnych TCP (SACK). Osoba atakująca zdalnie może to wykorzystać do spowodowania odmowy usługi
Uaktualnienie
Tak
CVE
CVE-2022-3204
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
W różnych programach do rozpoznawania DNS wykryto lukę w zabezpieczeniach zwaną „atakiem delegowania bez odpowiedzi” (atak NDelegation).
Uaktualnienie
Tak
CVE
CVE-2018-18066
Krytyczność
7.5/10
CVSS
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Opis
snmp_oid_compare w snmplib/snmp_api.c w NetSNMP przed wersją 5.8 zawiera błąd wyjątku wskaźnika NULL, którego nieuwierzytelniony atakujący może użyć, aby zdalnie spowodować awarię instancji za pośrednictwem spreparowanego pakietu UDP, co skutkuje odmową usługi.