发布日期:2024-09-27 14:20 点击次数:124
IT之家9月27日音书,Linux圈曝出严重良友代码引申(RCE)缺陷,已存在10多年,确实影响系数GNU/Linux刊行版twitter 自慰,现在尚未有树立补丁,不外不错缓解。
软件开发东谈主员SimoneMargaritelli于9月23日在X平台发布推文,当先曝料了这些RCE缺陷,现在也曾奉告相关开发团队,并会在明天两周内十足知道。
缺陷破坏力
Margaritelli暗意这些缺陷现在莫得分拨CVE跟踪编号,不外至少会有3个,理思情状下会达到6个。
Canonical(Ubuntu开发商)、RedHat以过头他刊行版的开发团队和公司已阐明了这些RCE缺陷的严重流程,预估CVSS评分达到9.9(满分10分,分数越高代表越危境),这标明淌若被专揽,可能会形成晦气性的破坏。
缺陷细节
该缺陷主要存在于Unix打印系统CUPS中,淌若用户正开动CUPS,并启用了cups-browsed,那么就存在被曲折风险,导致用户开荒被良友劫执。
不外CUPS开发团队在若何贬责该缺陷方面存在不对,部分红员在争论该缺陷对实质开动的安全影响,Margaritelli对此暗意抱怨。
征询东谈主员指出,尽管提供了多个见识考证(PoC),系统地推翻了开发东谈主员的假定,但阐扬仍然冉冉。
缓解决议
IT之家征引Margaritelli音书,现在莫得树立补丁,用户不错尝试以下缓解决议:
禁用不详移除cups-browsed办事
更新CUPS装配,以便在安全更新可用时引入安全更新。
谢透彻UDP端口631的走访,并接洽关闭DNS-SD。
淌若631端口无法径直走访twitter 自慰,曲折者可能领会过诳骗zeroconf、mDNS或DNS-SD告白来达成曲折。