M10-4s
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.84424
Распределение по критичности
Критический
0
Высокий
4
Средний
7
Низкий
2
Также сопоставлено как (исходные строки): m10-4s_firmware
Топ уязвимостей
CVE-2021-3326Функция iconv в GNU C Library (также известной как glibc или libc6) 2.32 и более ранних версий, при обработке недопустимых входных последовательностей в кодировке ISO-2022-JP-3, не проходит проверку в кодовой дорожке и прерывает программу, что может привести к отказу в обслуживании.
CVE-2021-23840Вызовы EVP_CipherUpdate, EVP_EncryptUpdate и EVP_DecryptUpdate могут привести к переполнению аргумента длины вывода в некоторых случаях, когда длина ввода близка к максимально допустимой длине для целого числа на платформе. В таких случаях возвращаемое значение из вызова функции будет 1 (что указывает на успех), но значение длины вывода будет отрицательным. Это может привести к некорректному поведению или сбою приложений. OpenSSL версий 1.1.1i и ниже подвержены этой проблеме. Пользователям этих версий следует обновиться до OpenSSL 1.1.1j. OpenSSL версий 1.0.2x и ниже подвержены этой проблеме. Однако OpenSSL 1.0.2 больше не поддерживается и больше не получает публичные обновления. Клиенты, пользующиеся премиум-поддержкой OpenSSL 1.0.2, должны обновиться до версии 1.0.2y. Другим пользователям следует обновиться до версии 1.1.1j. Исправлено в OpenSSL 1.1.1j (затронуты версии 1.1.1-1.1.1i). Исправлено в OpenSSL 1.0.2y (затронуты версии 1.0.2-1.0.2x).
CVE-2016-8610Обнаружена уязвимость отказа в обслуживании в OpenSSL 0.9.8, 1.0.1, 1.0.2 до 1.0.2h и 1.1.0 в способе, которым протокол TLS/SSL определял обработку пакетов ALERT во время подтверждения соединения. Удаленный злоумышленник может использовать этот недостаток, чтобы заставить TLS/SSL-сервер потреблять чрезмерное количество ресурсов ЦП и не принимать соединения от других клиентов.
CVE-2020-13817ntpd в ntp до версий 4.2.8p14 и 4.3.x до 4.3.100 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (выход из демона или изменение системного времени) путем прогнозирования меток времени передачи для использования в поддельных пакетах. Жертва должна полагаться на неаутентифицированные источники времени IPv4. Должен быть злоумышленник вне пути, который может запросить время из экземпляра ntpd жертвы.
CVE-2020-8285curl версии от 7.21.0 до 7.73.0 включительно уязвим для неконтролируемой рекурсии из-за проблемы переполнения стека при анализе подстановочных знаков FTP.
CVE-2018-1000007libcurl 7.1 до 7.57.0 может случайно раскрыть данные аутентификации третьим лицам. При запросе на отправку пользовательских заголовков в своих HTTP-запросах libcurl сначала отправляет этот набор заголовков хосту в начальном URL-адресе, а также, если его попросят следовать перенаправлениям и возвращается код HTTP-ответа 30X, хосту, указанному в URL-адресе в значении заголовка `Location:`. Отправка одного и того же набора заголовков последующим хостам является, в частности, проблемой для приложений, которые передают пользовательские заголовки `Authorization:`, поскольку этот заголовок часто содержит конфиденциальную информацию или данные, которые могут позволить другим выдавать себя за запрос клиента, использующего libcurl.
CVE-2020-1968Атака Raccoon использует недостаток в спецификации TLS, который может привести к тому, что злоумышленник сможет вычислить предварительный главный секрет в соединениях, которые использовали набор шифров на основе Diffie-Hellman (DH). В этом случае это приведет к тому, что злоумышленник сможет подслушивать все зашифрованные сообщения, отправленные по этому соединению TLS. Атака может быть использована только в том случае, если реализация повторно использует секрет DH в нескольких соединениях TLS. Обратите внимание, что эта проблема затрагивает только наборы шифров DH, а не наборы шифров ECDH. Эта проблема затрагивает OpenSSL 1.0.2, которая не поддерживается и больше не получает общедоступные обновления. OpenSSL 1.1.1 не уязвим для этой проблемы. Исправлено в OpenSSL 1.0.2w (Затронуты 1.0.2-1.0.2v).
CVE-2013-2566Алгоритм RC4, используемый в протоколах TLS и SSL, имеет множество однобайтовых смещений, что облегчает удаленным злоумышленникам проведение атак восстановления открытого текста посредством статистического анализа зашифрованного текста в большом количестве сессий, использующих один и тот же открытый текст.
CVE-2020-8177curl 7.20.0 по 7.70.0 уязвим для неправильного ограничения имен для файлов и других ресурсов, что может привести к перезаписи локального файла при использовании флага -J.
CVE-2019-6111Проблема обнаружена в OpenSSH 7.9. Из-за того, что реализация scp происходит от rcp 1983 года, сервер выбирает, какие файлы/каталоги отправлять клиенту. Однако клиент scp выполняет только беглую проверку возвращенного имени объекта (предотвращаются только атаки с обходом каталогов). Вредоносный сервер scp (или злоумышленник Man-in-The-Middle) может перезаписать произвольные файлы в целевом каталоге клиента scp. Если выполняется рекурсивная операция (-r), сервер может манипулировать и подкаталогами (например, перезаписать файл .ssh/authorized_keys).
CVE-2018-20685В OpenSSH 7.9 scp.c в scp-клиенте позволяет удаленным SSH-серверам обходить предполагаемые ограничения доступа через имя файла . или пустое имя файла. Воздействие заключается в изменении разрешений целевого каталога на стороне клиента.
CVE-2020-8284Злоумышленный сервер может использовать ответ FTP PASV, чтобы обманом заставить curl 7.73.0 и более ранние версии подключиться обратно к заданному IP-адресу и порту, и таким образом потенциально заставить curl извлекать информацию о службах, которые в противном случае являются частными и не раскрываются, например, выполнять сканирование портов и извлечение баннеров служб.
CVE-2019-6109Проблема обнаружена в OpenSSH 7.9. Из-за отсутствия кодировки символов в отображении прогресса, вредоносный сервер (или злоумышленник Man-in-The-Middle) может использовать специально созданные имена объектов для манипулирования выводом клиента, например, используя управляющие коды ANSI для скрытия дополнительных передаваемых файлов. Это влияет на refresh_progress_meter() в progressmeter.c.