根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: "A race condition in the one-pass compression functions of..." (libzstandard 库中的一步压缩函数中的竞态条件)。 描述: 在 libzstandard 库 1.3.8 版本之前,一步压缩函数中存在竞态条件。这允许攻击者将字节写入超出输出缓冲区末尾的位置,如果推荐的缓冲区大小被使用。 严重性 (Severity): CVSS v3.1 评分为 8.1/10 (High)。 CVSS 指标: 攻击向量 (Network), 攻击复杂度 (High), 权限要求 (None), 用户交互 (None), 保密性 (High), 完整性 (High), 可用性 (High)。 CVE ID: CVE-2019-11822。 CWE ID: CWE-362 (Concurrent Execution using Shared Resource with Improper Synchronization)。 2. 影响范围 (Affected Versions): 包 (Package): 页面显示 "No package listed – Suggest a package",但描述中明确提到了 。 受影响版本: 页面显示 "Unknown",但描述中明确指出是 "prior to version 1.3.8" (1.3.8 版本之前)。 发布时间: 2019年3月26日 (National Vulnerability Database)。 3. 修复方案 (Patch/Remediation): 修复版本: 页面显示 "Unknown",但描述中暗示升级到 1.3.8 版本可以修复。 参考链接: 提供了多个参考链接,包括 NVD、GitHub (libzstandard)、Oracle 等。 4. 代码提取 (Code Extraction): 检查页面内容,没有发现具体的 POC 代码或利用代码块。只有参考链接。 5. 总结构建: 将上述信息整合成简洁的中文markdown。 确保包含漏洞名称、描述、受影响版本、修复建议、CVE ID。 Drafting the response: 漏洞名称: libzstandard 一步压缩函数竞态条件漏洞 CVE ID: CVE-2019-11822 描述: 在 libzstandard 库 1.3.8 版本之前,一步压缩函数中存在竞态条件。这允许攻击者将字节写入超出输出缓冲区末尾的位置(如果使用了推荐的缓冲区大小)。 影响范围: libzstandard 1.3.8 之前的版本。 修复方案: 升级到 libzstandard 1.3.8 或更高版本。 严重性: 高 (CVSS 8.1)。 检查是否有遗漏。页面提到 "No package listed",但描述里明确说了 libzstandard。我会把 libzstandard 作为受影响包列出。 最终输出格式确认。 漏洞关键信息总结 漏洞概述 漏洞名称: libzstandard 一步压缩函数竞态条件漏洞 CVE ID: CVE-2019-11822 严重性: 高 (CVSS v3.1 评分 8.1/10) 描述: 在 库 1.3.8 版本之前,一步压缩函数(one-pass compression functions)中存在竞态条件。这允许攻击者将字节写入超出输出缓冲区末尾的位置,前提是使用了推荐的缓冲区大小。 CWE ID: CWE-362 (并发执行使用共享资源且同步不当) 影响范围 受影响软件: 受影响版本: 1.3.8 之前的所有版本 (prior to version 1.3.8) 修复方案 建议措施: 升级到 1.3.8 或更高版本。 参考链接: https://nvd.nist.gov/vuln/detail/CVE-2019-11822 https://github.com/indygreg/libzstandard https://www.oracle.com/security-alerts/cpuoct2020.html POC/利用代码 页面中未包含具体的 POC 代码或利用代码。