Hci Bootstrap Os
Уязвимости
27
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.09917
Распределение по критичности
Критический
1
Высокий
10
Средний
14
Низкий
2
Также сопоставлено как (исходные строки): hci_compute_node_bios,e-series_santricity_os_controller,hci_management_node,storagegrid,cloud_volumes_ontap_mediator,hci_bootstrap_os,active_iq_unified_manager,solidfire,steelstore_cloud_integrated_storage,brocade_fabric_operating_system,solidfire_element_os
Топ уязвимостей
CVE-2023-28531ssh-add в OpenSSH до версии 9.3 добавляет ключи смарт-карт в ssh-agent без предполагаемых ограничений назначения для каждого перехода. Самая ранняя затронутая версия - 8.9.
CVE-2021-38160В drivers/char/virtio_console.c в ядре Linux до версии 5.13.4 повреждение или потеря данных может быть вызвана ненадежным устройством, которое предоставляет значение buf->len, превышающее размер буфера. ПРИМЕЧАНИЕ: поставщик указывает, что указанное повреждение данных не является уязвимостью в каком-либо существующем варианте использования; проверка длины была добавлена исключительно для надежности перед лицом аномального поведения хост-ОС.
CVE-2024-33599nscd: Переполнение буфера на стеке в кэше netgroup
Если фиксированный кэш демона кэширования сервисов имен (nscd) истощается запросами клиентов, то последующий запрос клиента на данные netgroup может привести к переполнению буфера на стеке. Этот дефект был введен в glibc 2.15, когда кэш был добавлен в nscd.
Эта уязвимость присутствует только в бинарнике nscd.
CVE-2022-27781libcurl предоставляет опцию `CURLOPT_CERTINFO`, позволяющую приложениям запрашивать подробную информацию о цепочке сертификатов сервера. Из-за ошибочной функции вредоносный сервер может заставить libcurl, собранный с NSS, застрять в бесконечном цикле busy-loop при попытке получить эту информацию.
CVE-2022-27780Парсер URL curl неправильно принимает URL-разделители в процентах, такие как '/', при декодировании имени хоста в URL, делая его *другим* URL с использованием неправильного имени хоста при его последующем извлечении. Например, URL-адрес типа `http://example.com%2F127.0.0.1/` будет разрешен парсером и преобразован в `http://example.com/127.0.0.1/`. Этот недостаток можно использовать для обхода фильтров, проверок и многого другого.
CVE-2022-27775В curl 7.65.0 - 7.82.0 существует уязвимость раскрытия информации, которая при использовании IPv6-адреса, находящегося в пуле соединений, но с другим идентификатором зоны, может повторно использовать соединение.
CVE-2021-38202fs/nfsd/trace.h в ядре Linux до версии 5.13.4 может позволить удаленным злоумышленникам вызвать отказ в обслуживании (чтение за пределами выделенной памяти в strlen) путем отправки трафика NFS, когда для nfsd используется фреймворк событий трассировки.
CVE-2021-38201net/sunrpc/xdr.c в ядре Linux до версии 5.13.4 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (xdr_set_page_base slab-out-of-bounds access) путем выполнения множества операций NFS 4.2 READ_PLUS.
CVE-2019-0201Проблема присутствует в Apache ZooKeeper 1.0.0 - 3.4.13 и 3.5.0-alpha - 3.5.4-beta. Команда ZooKeeper getACL() не проверяет какие-либо разрешения при извлечении ACL запрошенного узла и возвращает всю информацию, содержащуюся в поле ACL Id, в виде строки в открытом виде. DigestAuthenticationProvider перегружает поле Id хэш-значением, которое используется для аутентификации пользователя. Как следствие, если используется дайджест-аутентификация, значение хеша без соли будет раскрыто запросом getACL() для неаутентифицированных или непривилегированных пользователей.
CVE-2020-8286curl версии от 7.41.0 до 7.73.0 включительно уязвим для неправильной проверки отзыва сертификата из-за недостаточной проверки ответа OCSP.
CVE-2020-29368Обнаружена проблема в __split_huge_pmd в mm/huge_memory.c в ядре Linux до 5.7.5. Реализация copy-on-write может предоставить непреднамеренный доступ на запись из-за состояния гонки в проверке mapcount THP, также известной как CID-c444eb564fb1.
CVE-2021-4209Обнаружена ошибка разыменования нулевого указателя в GnuTLS. Поскольку функции обновления хеша Nettle внутренне вызывают memcpy, предоставление входных данных нулевой длины может вызвать неопределенное поведение. Эта ошибка приводит к отказу в обслуживании после аутентификации в редких случаях.
CVE-2021-38199fs/nfs/nfs4client.c в ядре Linux до версии 5.13.4 имеет неправильный порядок настройки соединения, что позволяет операторам удаленных серверов NFSv4 вызывать отказ в обслуживании (зависание точек монтирования), организуя недоступность этих серверов во время обнаружения транкинга.
CVE-2020-8285curl версии от 7.21.0 до 7.73.0 включительно уязвим для неконтролируемой рекурсии из-за проблемы переполнения стека при анализе подстановочных знаков FTP.
CVE-2022-36879Проблема была обнаружена в ядре Linux до версии 5.18.14. xfrm_expand_policies в net/xfrm/xfrm_policy.c может привести к двойному удалению счетчика ссылок.
CVE-2021-38203btrfs в ядре Linux до версии 5.13.4 позволяет злоумышленникам вызывать отказ в обслуживании (deadlock) через процессы, которые запускают выделение новых системных блоков во время нехватки свободного места в system space_info.
CVE-2024-33600nscd: сбой нулевого указателя после ответа notfound
Если кэш демона кэширования службы имен (nscd) не добавляет ответ netgroup с отсутствием в кэш, запрос клиента может привести к разыменованию нулевого указателя. Этот дефект был введен в glibc 2.15, когда кэш был добавлен в nscd.
Эта уязвимость присутствует только в двоичном файле nscd.
CVE-2022-30115Используя поддержку HSTS, curl можно настроить на использование HTTPS напрямую вместо небезопасного шага HTTP в виде открытого текста, даже если HTTP указан в URL. Этот механизм можно обойти, если имя хоста в данном URL-адресе использует завершающую точку, в то время как при создании кэша HSTS она не используется. Или наоборот - наличие завершающей точки в кэше HSTS и *не* использование завершающей точки в URL.
CVE-2020-12771Обнаружена проблема в ядре Linux до версии 5.6.11. btree_gc_coalesce в drivers/md/bcache/btree.c имеет взаимоблокировку, если операция объединения завершается неудачно.
CVE-2022-27774В curl 4.9 и curl 7.82.0 существует уязвимость, связанная с недостаточно защищенными учетными данными, которая может позволить злоумышленнику извлекать учетные данные, когда перенаправления HTTP(S) используются с аутентификацией, что может привести к утечке учетных данных в другие службы, существующие на разных протоколах или номерах портов.
CVE-2023-29153Неконтролируемое потребление ресурсов для некоторых прошивок Intel(R) SPS до версии SPS_E5_06.01.04.002.0 может позволить привилегированному пользователю потенциально вызвать отказ в обслуживании через сетевой доступ.
CVE-2022-27779libcurl ошибочно позволяет устанавливать cookie для доменов верхнего уровня (TLD), если имя хоста указано с завершающей точкой. curl может быть указано принимать и отправлять cookie. "Движок cookie" curl может быть создан с поддержкой или без поддержки [Public Suffix List](https://publicsuffix.org/). Если поддержка PSL не предусмотрена, существует более простой способ проверки, чтобы хотя бы предотвратить установку cookie на TLD. Эта проверка была нарушена, если имя хоста в URL использует завершающую точку. Это может позволить произвольным сайтам устанавливать cookie, которые затем будут отправляться на другой и несвязанный сайт или домен.
CVE-2022-27776Уязвимость, связанная с недостаточно защищенными учетными данными, исправленная в curl 7.83.0, может привести к утечке данных аутентификации или заголовка cookie при перенаправлении HTTP на тот же хост, но на другой номер порта.
CVE-2024-33602nscd: кэш группы сети предполагает, что обратный вызов NSS использует строки в предоставленном буфере.
Кэш групп сети демона кэша службы имен (nscd) может повредить память, если обратный вызов NSS не сохраняет все строки в предоставленном буфере. Дефект был введен в glibc 2.15, когда кэш был добавлен в nscd.
Эта уязвимость присутствует только в двоичном файле nscd.
CVE-2024-33601nscd: кэш netgroup может завершить работу демона из-за ошибки выделения памяти. Кэш netgroup демона кэширования служб имен (nscd) использует xmalloc или xrealloc, и эти функции могут завершить процесс из-за ошибки выделения памяти, что приводит к отказу в обслуживании клиентов. Ошибка была введена в glibc 2.15, когда кэш был добавлен в nscd. Эта уязвимость присутствует только в бинарном файле nscd.