nvd,anchore_overrides
Opensuse
Уязвимости
3292
Эксплуатируемые
58
Критический
197
Высокий
1071
Топ продуктов
Топ уязвимостей
CVE-2020-13753Песочница bubblewrap WebKitGTK и WPE WebKit версий до 2.28.3 не смогла должным образом заблокировать доступ к CLONE_NEWUSER и ioctl TIOCSTI. CLONE_NEWUSER потенциально можно использовать для запутывания xdg-desktop-portal, который предоставляет доступ за пределы песочницы. TIOCSTI можно использовать для непосредственного выполнения команд за пределами песочницы, записывая в буфер ввода управляющего терминала, аналогично CVE-2017-5226.
CVE-2016-1931Множественные неопределенные уязвимости в браузере Mozilla Firefox до 44.0 позволяют удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти и сбой приложения) или, возможно, выполнить произвольный код через векторы, связанные с неинициализированной памятью, обнаруженной во время сжатия данных brotli, и другие векторы.
CVE-2015-5957Переполнение буфера в функции DumpSysVar в var.c в Remind до версии 3.1.15 позволяет злоумышленникам оказывать неуказанное воздействие через длинное имя.
CVE-2014-2978Функция Dispatch_Write в proxy/dispatcher/idirectfbsurface_dispatcher.c в DirectFB 1.4.4 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через интерфейс Voodoo, который вызывает запись за пределами выделенной памяти.
CVE-2014-2977Множественные ошибки знака целого числа в функции Dispatch_Write в proxy/dispatcher/idirectfbsurface_dispatcher.c в DirectFB 1.4.13 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой) и, возможно, выполнять произвольный код через интерфейс Voodoo, который вызывает переполнение буфера на основе стека.
CVE-2012-5144Google Chrome до версии 23.0.1271.97 и Libav 0.7.x до 0.7.7 и 0.8.x до 0.8.5 неправильно выполняют декодирование AAC, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (повреждение стековой памяти) или, возможно, оказать другое неуказанное воздействие через векторы, связанные с "перезаписью на единицу при переключении на профиль LTP из MAIN".
CVE-2012-5143Целочисленное переполнение в Google Chrome до версии 23.0.1271.97 позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через векторы, связанные с буферами изображений PPAPI.
CVE-2012-5142Google Chrome до версии 23.0.1271.97 неправильно обрабатывает навигацию по истории, что позволяет удаленным злоумышленникам выполнить произвольный код или вызвать отказ в обслуживании (аварийное завершение приложения) через неуказанные векторы.
CVE-2012-5141Google Chrome до версии 23.0.1271.97 неправильно ограничивает создание экземпляров подключаемого модуля Chromoting client, что имеет неуказанное воздействие и векторы атак.
CVE-2012-5140Уязвимость use-after-free в Google Chrome до версии 23.0.1271.97 позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через векторы, связанные с загрузчиком URL.
CVE-2012-5139Уязвимость use-after-free в Google Chrome до версии 23.0.1271.97 позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через векторы, связанные с событиями видимости.
CVE-2012-5138Google Chrome до версии 23.0.1271.95 неправильно обрабатывает пути к файлам, что имеет неуказанное воздействие и векторы атак.
CVE-2012-5137Уязвимость use-after-free в Google Chrome до версии 23.0.1271.95 позволяет удаленным злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через векторы, связанные с Media Source API.
CVE-2011-3079Реализация межпроцессного взаимодействия (IPC) в Google Chrome до версии 18.0.1025.168, используемая в Mozilla Firefox до версии 38.0 и других продуктах, неправильно проверяет сообщения, что оказывает неуказанное воздействие и имеет векторы атаки.
CVE-2011-3046Подсистема расширений в Google Chrome до версии 17.0.963.78 неправильно обрабатывает навигацию по истории, что позволяет удаленным злоумышленникам выполнять произвольный код, используя проблему "Universal XSS (UXSS)".
CVE-2010-2302Уязвимость use-after-free в WebCore в WebKit в Google Chrome до 5.0.375.70 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение памяти) или, возможно, выполнять произвольный код через векторы, включающие удаленные шрифты в сочетании с деревьями shadow DOM, также известными как проблема rdar 8007953. ПРИМЕЧАНИЕ: это может частично совпадать с CVE-2010-1771.
CVE-2008-2388Множественные ошибки off-by-one в opensuse-updater в openSUSE 10.2 оказывают неуказанное воздействие и имеют неуказанные векторы атак. ПРИМЕЧАНИЕ: поставщик заявляет, что это "нельзя рассматривать как проблему безопасности".
CVE-2022-28321Пакет Linux-PAM до версии 1.5.2-6.1 для openSUSE Tumbleweed допускает обход аутентификации для SSH-логинов. Модуль pam_access.so некорректно ограничивает вход в систему, если пользователь пытается подключиться с IP-адреса, который не может быть разрешен через DNS. В таких условиях пользователь с запрещенным доступом к машине все равно может получить доступ. ПРИМЕЧАНИЕ. Актуальность этой проблемы в основном ограничивается openSUSE Tumbleweed и openSUSE Factory; это не влияет на Linux-PAM upstream.
CVE-2020-8955irc_mode_channel_update в plugins/irc/irc-mode.c в WeeChat до 2.7 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (переполнение буфера и сбой приложения) или, возможно, оказать другое неуказанное воздействие через поврежденное IRC-сообщение 324 (режим канала).
CVE-2020-8432В Das U-Boot до 2020.01 была обнаружена двойная ошибка освобождения памяти в функции cmd/gpt.c do_rename_gpt_parts(). Двойное освобождение может привести к условию write-what-where, позволяя злоумышленнику выполнить произвольный код. ПРИМЕЧАНИЕ: эта уязвимость была внесена при попытке исправить утечку памяти, выявленную статическим анализом.
CVE-2020-8165Существует уязвимость десериализации ненадежных данных в rails < 5.2.4.3, rails < 6.0.3.1, которая может позволить злоумышленнику демаршалировать предоставленные пользователем объекты в MemCacheStore и RedisCacheStore, что потенциально может привести к RCE.
CVE-2020-6831Переполнение буфера могло произойти при анализе и проверке чанков SCTP в WebRTC. Это могло привести к повреждению памяти и потенциально эксплуатируемому сбою. Эта уязвимость затрагивает Firefox ESR версий < 68.8, Firefox версий < 76 и Thunderbird версий < 68.8.0.
CVE-2020-26935Обнаружена проблема в SearchController в phpMyAdmin до версий 4.9.6 и 5.x до 5.0.3. Обнаружена уязвимость SQL-инъекции в том, как phpMyAdmin обрабатывает SQL-запросы в функции поиска. Злоумышленник может использовать этот недостаток для внедрения вредоносного SQL в запрос.
CVE-2020-1747Обнаружена уязвимость в библиотеке PyYAML в версиях до 5.3.1, где она подвержена произвольному выполнению кода при обработке ненадежных YAML-файлов с помощью метода full_load или с загрузчиком FullLoader. Приложения, использующие библиотеку для обработки ненадежного ввода, могут быть уязвимы для этого недостатка. Злоумышленник может использовать этот недостаток для выполнения произвольного кода в системе, злоупотребляя конструктором python/object/new.
CVE-2020-17368Firejail до версии 0.9.62 неправильно обрабатывает shell-метасимволы во время использования опции --output или --output-stderr, что может привести к инъекции команд.