问题标签 [cve]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
spring - spring-boot 2.3.7 spring-boot-starter-integration CVE-2019-3772
我从 Sonar 上的 Dependency-Checker 工具获得以下信息:
我正在使用spring boot 2.3.7.RELEASE. Spring-Frameworks 的版本是Spring 5.2.12.RELEASE和Spring-Integration 5.3.4.RELEASE。依赖关系树中没有旧的 Spring 依赖关系。很少有应用程序模块使用 Spring-AOP(不确定 spring-integration 和 spring-aop 的组合会导致该问题吗???)。
结合 Spring-Integration 和 Spring-AOP 是否存在任何已知的 CVE 问题?
我不知道为什么会弹出这个问题,我该怎么做才能让它消失。
非常欢迎提示,非常感谢
security - 微软 CVRF API
我注意到,从 2021 年 2 月 9 日开始, Microsoft 安全响应中心已取消对其CVRF API的注册要求。
这可能是一种以编程方式识别、下载和应用安全更新的好方法,例如,提供完全修补的系统。
在这种情况下,我试图确定给定 Windows 版本(例如 20H2)的最新累积更新,稍后将从缺少适当 API 的Microsoft Update Catalog下载。
目前,我只想解析调用:
有没有更具体可靠的方法?
spring-boot - 无法找到 CVE-2020-13956 的根本原因
我正在运行具有以下父级的 Spring Boot 应用程序
我们在我们的组织中进行了扭锁扫描。它将扫描我们构建的 docker 镜像,并报告 docker 镜像中的漏洞。
当我为我的应用程序创建一个 docker 映像并使用旋锁扫描对其进行扫描时。我发现了以下漏洞。
| CVE | 严重性 | 包裹 | 版本 | 地位 | 发表 | 描述 |
|---|---|---|---|---|---|---|
| CVE-2020-13956 | 中等的 | org.apache.httpcomponents_httpclient | 3.1-1.0 | 在 5.0.3、4.5.13 中修复 | 84 天 | 4.5.13 和 5.0.3 之前的 Apache HttpClient 版本可能会误解作为 java.net.URI 对象传递给库的请求 URI 中格式错误的权限组件,并选择错误的目标主机来执行请求。 |
| CVE-2020-13956 | 中等的 | org.apache.httpcomponents_httpclient | 3.0-1.0 | 在 5.0.3、4.5.13 中修复 | 84 天 | 4.5.13 和 5.0.3 之前的 Apache HttpClient 版本可能会误解作为 java.net.URI 对象传递给库的请求 URI 中格式错误的权限组件,并选择错误的目标主机来执行请求。 |
| CVE-2020-13956 | 中等的 | org.apache.httpcomponents_httpclient | 4.0-1.0 | 在 5.0.3、4.5.13 中修复 | 84 天 | 4.5.13 和 5.0.3 之前的 Apache HttpClient 版本可能会误解作为 java.net.URI 对象传递给库的请求 URI 中格式错误的权限组件,并选择错误的目标主机来执行请求。 |
但是我看到了我的应用程序的有效 pom,我发现我的应用程序正在使用以下不易受攻击的依赖项
我也从 dockerhub 扫描了我的基础镜像,它也没有漏洞。我不确定这个漏洞来自哪里?
依赖层次结构:
cve - NVD中引用链接的资源标签是什么意思?
我最近正在寻找通过 NVD 提交的 bug 修复,我对 NVD 参考链接的资源标签感到困惑。“补丁”标签是什么意思?带有“补丁”标签的参考链接是否总是包含修复漏洞的代码更改?没有“补丁”标签的参考链接呢?我在网上找了很久。但是没有用。请帮助或尝试提供一些想法如何实现这一点。在此先感谢。 CVE-2011-4594的参考链接
node.js - Node.js 服务器中的安全漏洞
我的网站在 node.js 和 express 服务器上运行。我了解到该网站存在以下漏洞。
远程攻击者可以发送特制的 HTTP 请求并强制它针对某些流量边缘模式的错误连接进行日志记录。这会导致内存池同时用于单独的连接并触发影响。
正是 HTTP 标头利用的间隔在服务器进程中创建溢出以覆盖部分堆栈以通过覆盖下一个操作的字节来回退请求处理。
一旦针对暴露的端点进行了相应的制作;环境会出现故障。
我用谷歌搜索了这个漏洞,并知道这是因为Apache HTTP Server版本易受攻击。但是我的网站在 nginx 上运行,而不是在 apache 上。
我已经使用 nginx 将我的应用程序端口从 3000 转发到 80。
为了安全起见,网站也有 cloudflare 设置。
如何缓解此漏洞?
exploit - “/mifs/.;/services/LogService”这行是什么意思
我正在尝试了解 CVE-2020-15505 - [MobileIron MDM 上的 RCE]
来自一些参考资料,例如: https ://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html
他们都使用“POST /mifs/.;/services/LogService”从那里开始利用。我的问题是,这个请求是什么意思?
security - 如何获得带有 CWE 标记的 CVE 数据集?
我知道每个 CVE 都可以匹配 CWE 标签,但我在 CVE 详细信息页面上找不到 CWE 标签。是否有自动标记 CVE 条目的方法或用 CWE 标记的数据集?
linux - 制作和应用 Linux 安全补丁
如果这不是主题或发布在错误的地方,请提前道歉
刚开始托管我自己的媒体服务器(CentOS Stream 8),我正在尝试学习如何保护它。您将如何将 git 的更改应用到您的内核?在这种情况下,它将针对 CVE-2021-22555。
https://nvd.nist.gov/vuln/detail/CVE-2021-35039#range-6800543
像这样的修复程序会自动包含在更新中,还是我必须手动修补它?如果是这样,您将如何修补它?
api - 微软 MSRC 更新 API
我想将 CVE-Id 与 KB 文章、MSRC 更新 API ( https://api.msrc.microsoft.com/cvrf/v2.0/swagger/index ) 进行映射,它仅在我们查看时提供 2016 年以后的数据NVD ( https://nvd.nist.gov/ ) 或 MITRE ( https://cve.mitre.org/data/refs/refmap/source-MSKB.html ) 从 2002 年开始就列出了漏洞。
有什么建议我如何从 2002 年开始提取数据?
cve - 在 /drivers/isdn/i4l/ 中找不到 isdn_net.c
嗨,我是计算机安全领域的新手。我最近正在使用 CVE-2017-12762。根据 CVE-2017-12762 描述,isdn_net.c 可以在 /drivers/isdn/i4l/isdn_net.c 中找到。但是,当我尝试安装受影响版本的 Linux 时,/drivers/isdn/i4l/ 中不存在 isdn_net.c。我应该怎么做才能让 isdn_net.c 存在于 /drivers/isdn/i4l/ 中?