Certifi 存在数据真实性验证不充分漏洞
漏洞描述
Certifi 是一个用于验证 TLS 主机身份的同时验证 SSL 证书的可信度的开源代码库。
根据媒体报道:TrustCor 的所有权经营一家生产间谍软件的企业,Certifi 从根存储中删除“TrustCor”中的根证书,并且 TrustCor 正在被 Mozilla 从信任证书库中删除。请阅读相关链接:https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/oxX69KFvsm4/m/yLohoVqtCgAJ
| 漏洞名称 | Certifi 存在数据真实性验证不充分漏洞 |
|---|---|
| 漏洞类型 | 对数据真实性的验证不充分 |
| 发现时间 | 2022-12-08 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-1918 |
| CVE编号 | CVE-2022-23491 |
| CNVD编号 | - |
影响范围
certifi@[2017.11.05, 2022.12.07)
修复方案
将组件 certifi 升级至 2022.12.07 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-1918
https://nvd.nist.gov/vuln/detail/CVE-2022-23491
https://github.com/certifi/python-certifi/security/advisories/GHSA-43fp-rhv2-5gv8
https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/oxX69KFvsm4/m/yLohoVqtCgAJ
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
containerd CRI stream server 存在不受控制的资源消耗漏洞
漏洞描述 containerd 是一个开源的容器运行环境,containerd CRI 是一个使 kubelet 或 crictl 等服务能够使用 containerd 容器运行的接口,stream server 用于处理容器 IO 。 containerd 的受影响版本中的 CRI stream server 在处理用户调整终端大小的 tty 时请求存在不受控制的资源消耗漏洞,漏洞源于 CRI stream server 会启动一个 goroutine 线程来处理用户的 tty 请求,当用户的进程意外(如错误命令)无法启动时,该 goroutine 线程将在没有接收者的情况下等待发送(挂起),从而导致内存泄漏。攻击者可通过发送恶意的 tty 请求造成 containerd 程序拒绝服务。 漏洞名称 containerd CRI stream server 存在不受控制的资源消耗漏洞 漏洞类型 拒绝服务 发现时间 2022-12-08 漏洞影响广度 小 MPS编号 MPS-2022-1898 CVE编号 CVE-2022-23471 CNVD编号 - 影响范围 containerd@(...
- 下一篇
Linux 6.2 启用“-funsigned-char”,所有 char 类型设为无符号
在下周 Linux 6.2 合并窗口打开之前的早期拉取请求中,有一项更改是默认为 Linux 内核构建启用“-funsigned-char”,这意味着如果没有指定,“-funsigned-char”编译器标志会将所有“char”字符类型设为无符号。 C 的 char 字符数据类型分为 signed char 和 unsigned char,其中 unsigned char 占用内存的所有 8 位并且没有符号位。 char 在标准中是 unsigned,但不同的 CPU 体系结构/编译器能将其实现为 signed,也可以实现为 unsigned 。但此更改合并后,对于使用普通“char”类型编写的内核代码, 将普遍将默认 char 类型视为 unsigned 。 WireGuard 首席开发人员 Jason Donenfeld 领导了 Linux 内核的 -funsigned-char 转换工作。早在 Linux 6.1 版本,Jason Donenfeld 在 ARM 上编译驱动程序时触发了构建错误,当时驱动程序假定裸 char 类型已签名,但 ARM 将其视为未签名, C 标准则表示...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Mario游戏-低调大师作品
- Linux系统CentOS6、CentOS7手动修改IP地址
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路
微信收款码
支付宝收款码