安全公告/【CVE-2022-4603】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:ppp
CVSS评分:6.5
发现日期:2024/9/19
修复日期:2024/10/10
修复版本:ppp-2.4.8-4

漏洞描述

在 ppp 中发现了一个被归类为有问题的漏洞。受影响的是组件 pppdump 的文件 pppdump/pppdump.c 的函数 dumpppp。对参数 spkt.buf/rpkt.buf 的操作导致数组索引验证不正确。目前仍怀疑此漏洞的真实存在。补丁名称为 a75fb7b198eed50d769c80c36629f38346882cbf。建议应用补丁来修复此问题。分配给此漏洞的标识符为 VDB-216198。注意:在建立 PPP 连接的正常过程中不使用 pppdump,未安装 setuid-root,在任何情况下都不会自动调用。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf update ppp

补丁