安全公告/【CVE-2022-41854】
基本信息
漏洞描述
使用 Snakeyaml 解析不受信任的 YAML 文件的用户可能容易受到拒绝服务攻击 (DOS)。如果解析器在用户提供的输入上运行,攻击者可能会提供导致解析器因堆栈溢出而崩溃的内容。这种影响可能支持拒绝服务攻击。
漏洞判定
执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复
修复方式
软件包升级 dnf update snakeyaml
参考
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=50355
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7MKE4XWRXTH32757H7QJU4ACS67DYDCR/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KSPAJ5Y45A4ZDION2KN5RDWLHK4XKY2J/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3DDXEXXWAZGF5AVHIPGFPXIWL6TSMKJE/
https://security.netapp.com/advisory/ntap-20240315-0009/
https://security.netapp.com/advisory/ntap-20240621-0006/