问题标签 [cve]

“CVE-2018-5712”在 PHP 变更日志中多次出现，这让我很困惑。有人可以解释这种现象吗？谢谢。

https://www.php.net/ChangeLog-7.php

https://www.php.net/ChangeLog-5.php

我的另一个问题已被某人关闭。因此，我必须修改此问题以在下面添加该问题。

我在 PHP 更改日志中找不到“CVE-2015-4603”。

根据https://www.cvedetails.com/cve/CVE-2015-4603/，我猜它已在 PHP 5.6.8 中修复。我对吗？为什么 PHP 更改日志中没有出现字符串“CVE-2015-4603”？PHP 7.0、7.1、7.2、7.3、7.4 怎么样？他们有这个问题吗？提前致谢。

我刚刚阅读了有关Janus 漏洞 (CVE-2017-13156) 的信息，但有一件事我无法理解。

漏洞在于APK和Signature Scheme v1（JAR签名）的安装执行。它允许您通过将恶意 DEX 文件附加到合法 APK 来制作恶意 APK 文件。安装恶意 DEX 文件而不是合法 APK 的 DEX 文件。签名（如果使用 v1 方案）没有损坏。

上面链接中的文章提到易受攻击的 Android 版本是 5.0 和更高版本（CVE 记录提到 5.1.1 到 8.0，但这不是现在的主要问题）。

所以我的问题是：

为什么 5.0 是 Android 的最低易受攻击版本？早于 5.0 的 Android 是否使用不同的签名方案？或者在 Android 5.0 及更新版本和低于 5.0 的 Android 上安装 APK 的方式是否有所不同？

我在扫描仪中搜索“cve”，以扫描 coreOS（主机，而不是容器）。

你知道任何 ？

非常感谢。

托管在 hub.docker.com 上的最新标记 (amd64-1.4.4) hyperledger fabric-peer 和 hyperledger fabric-tools 存在 linux 安全漏洞。

您如何请求新版本的图像？

我经常需要供应商安全公告页面上列出的 CVE 列表。有时这很容易复制，但通常它们与一堆文本混合在一起。

我有一段时间没有接触 Python，所以我认为这将是一个很好的练习来弄清楚如何提取这些信息——特别是因为我一直发现自己是手动操作的。

这是我当前的代码：

我为 Android URL 所做的工作正常；我遇到的问题是 Chrome URL。他们在<span>标签内有 CVE 信息，我正在尝试利用正则表达式将其提取出来。

使用这种re.finditer方法，我最终得到一式三份的结果。使用re.search它错过了 CVE-2019-19925 的方法——他们在同一行列出了两个 CVE。

您能否就实现此功能的最佳方式提供任何建议？

我不确定相应的 CVE 是否总是有补丁？

如果patch_a没有正确修复 CVE，然后来了patch_b，那么有两个补丁可以修复某个 CVE。在这种情况下，CVE 参考是否会更新？

我在 Jenkins 版本 2.234 上。我们的审计团队报告说，Jenkins 使用的最新 jQuery 插件是 1.12.4 版本，这个版本相当老，并且有很多漏洞。

他们在以下 URL 上找到了 1.12.4 jQuery 插件：

[https://myhost:9043/adjuncts/24d46f61/org/kohsuke/stapler/jquery/jquery.full.js]

jQuery的当前是3.5.1 [https://jquery.com/download/]

第二个问题是我使用的摘要报告插件 [https://www.jenkins.io/doc/pipeline/steps/summary_report/]。它隐含地附带了一个更旧的 jQuery 版本 1.4.2，并且可以使用我系统上的以下 URL [https://myhost:9043/plugin/summary_report/lib/jquery/js/jquery-1.4.2.min 访问。 js]

由于提出的解决方案只是更新它，我该如何解决 jQuery 的漏洞？

但是，我不知道如何为 Jenkins 以及 Display Report 插件更新 jQuery。

有人可以建议吗？

我有一个使用 2.8.2 版（当前）的 Play Framework Scala 应用程序

当我从https://github.com/albuch/sbt-dependency-check (ver 2.0.0)运行 OWASP 扫描程序时，它会标记以下 CVE，这显然已在 Play 2.3.9 中修复：

https://nvd.nist.gov/vuln/detail/CVE-2015-2156

这个 vuln 实际上不是在当前 Play 中修复的吗？或者是 vuln 扫描仪以某种方式配置错误？我该如何解决？

依赖报告中的相关部分如下所示：

我的项目依赖树中这个 dep 的路径如下所示：

我注意到 play-ahc-ws 2.8.2 确实依赖于几个版本为 2.1.2 的游戏库，请参见此处：https ://mvnrepository.com/artifact/com.typesafe.play/play-ahc-ws_2.13 /2.8.2，包括https://mvnrepository.com/artifact/com.typesafe.play/play-ahc-ws-standalone_2.13/2.1.2 这些库没有发布高于 2.1.2 的版本

有没有办法配置 JVM 来阻止正在创建的类的实例？

我想这样做是为了确保在 JVM 中运行的任何服务都不允许创建已在CVE中被识别为安全风险的类的实例，让我们调用该类BadClass。

注意：我正在寻找一个通用的解决方案，因此以下纯粹是附加信息。我通常会通过切换库或将其升级到没有漏洞利用的版本来解决这个问题，但它是一个更大的库的一部分，在一段时间内不会解决这个问题。所以我什至没有BadClass在任何地方使用，而是想完全阻止它。

我正在寻找一个可以手动输入我选择的软件的应用程序 - 没有自动软件清单 - 一旦我打开程序，就会自动扫描该软件以查找已知漏洞（来自公共来源）。充其量它给了我一个关于漏洞描述的参考。所以就功能而言，它是一个相对苗条的程序。

有谁知道这样的应用程序，他们可以推荐它吗？是否有不同应用程序的比较让我更容易选择合适的应用程序？

背景是我负责销售给客户的软件的安全性。这是一个在工业 PC 上运行的 Web 应用程序。我想对系统上主动运行的所有服务进行清点，并定期检查它们是否存在漏洞。工业 PC 上的软件通常很少在客户处更新。但是，如果发生任何漏洞，我想通知客户。

最好的问候马蒂亚斯