双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于GNU Wget存在緩沖區(qū)溢出漏洞的安全公告

2017-11-13 16:02:10

安全公告編號(hào):CNTA-2017-0076

近期,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了GNU Wget的兩個(gè)緩沖區(qū)溢出漏洞(CVE-2017-13089、CVE-2017-13090)。使用存在漏洞的Wget可能受到惡意HTTP響應(yīng)攻擊,導(dǎo)致拒絕服務(wù)和惡意代碼執(zhí)行。漏洞細(xì)節(jié)和利用代碼已公開(kāi),近期被不法分子利用出現(xiàn)大規(guī)模攻擊嘗試的可能性較大。

一、漏洞情況分析

2017年10月26日,GNU Wget發(fā)布了1.19.2之前版本的緩沖區(qū)溢出漏洞公告,使用存在漏洞的Wget可能受到惡意HTTP響應(yīng)攻擊,導(dǎo)致拒絕服務(wù)和惡意代碼執(zhí)行,相關(guān)漏洞信息如下:

CNVD-2017-32886對(duì)應(yīng)CVE-2017-13089:漏洞在src/http.c源碼文件中,Wget在一些調(diào)用http.c:skip_short_body() 函數(shù)情況下,塊解析器使用strtol() 讀取每個(gè)響應(yīng)分塊的長(zhǎng)度,但不檢查塊長(zhǎng)度是否非負(fù),而在Wget調(diào)用過(guò)程中該數(shù)據(jù)內(nèi)容和長(zhǎng)度可被攻擊者完全控制,導(dǎo)致fd_read()函數(shù)中發(fā)棧緩沖區(qū)溢出。

CNVD-2017-32885對(duì)應(yīng)CVE-2017-13090:漏洞在src/retr.c源碼文件中,Wget在一些調(diào)用retr.c:fd_read_body()函數(shù)情況下,塊解析器使用strtol() 讀取每個(gè)響應(yīng)分塊的長(zhǎng)度,但不檢查塊長(zhǎng)度是否非負(fù),而在Wget調(diào)用過(guò)程中該數(shù)據(jù)內(nèi)容和長(zhǎng)度可被攻擊者完全控制,導(dǎo)致fd_read()函數(shù)觸發(fā)堆緩沖區(qū)溢出。

CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

漏洞影響1.19.2之前版本。由于Wget是Unix/linux發(fā)行版的基本組件,因此幾乎所有發(fā)行版或封裝調(diào)用Wget的應(yīng)用都受影響,包括一些主流的Linux發(fā)行版:Red Hat、Debian、Ubuntu、SUSE、Gentoo、CentOS、FreeBSD、Oracle Linux、Amazon Linux AMI等默認(rèn)帶有Wget的Linux發(fā)行版本,請(qǐng)參考各發(fā)行版受影響范圍:
Red Hat Enterprise Linux 7
https://access.redhat.com/security/cve/CVE-2017-13089
https://access.redhat.com/security/cve/CVE-2017-13090
SUSE(SUSE Linux Enterprise Server/openSUSE)
https://www.suse.com/security/cve/CVE-2017-13089/
https://www.suse.com/security/cve/CVE-2017-13090/
Debian
https://security-tracker.debian.org/tracker/CVE-2017-13089
https://security-tracker.debian.org/tracker/CVE-2017-13090
Found in versions Wget/1.16-1, Wget/1.19.1-5?
Fixed in versions 1.16-1+deb8u4, 1.18-5+deb9u1, Wget/1.19.2-1
Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-13089.html
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-13090.html
https://usn.ubuntu.com/usn/usn-3464-1/
https://usn.ubuntu.com/usn/usn-3464-2/
Ubuntu 17.10 Wget 1.19.1-3ubuntu1.1 ?
Ubuntu 17.04 Wget 1.18-2ubuntu1.1 ?
Ubuntu 16.04 LTS Wget 1.17.1-1ubuntu1.3 ?
Ubuntu 14.04 LTS Wget 1.15-1ubuntu1.14.04.3?
Ubuntu 12.04 LTS Wget 1.13.4-2ubuntu1.5
Gentoo
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-13089
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-13090
Oracle Linux version 7
https://linux.oracle.com/cve/CVE-2017-13089.html
https://linux.oracle.com/cve/CVE-2017-13090.html
Amazon Linux AMI
https://alas.aws.amazon.com/ALAS-2017-916.html
CentOS
https://lists.centos.org/pipermail/centos-announce/2017-October/022609.html
FreeBSD
https://reviews.freebsd.org/rP453520

三、漏洞修復(fù)建議

廠商已在最新發(fā)布的Wget 1.19.2版本中修復(fù)了上述漏洞,CNVD建議參照更新指南盡快升級(jí)。匯集各發(fā)行版安全公告列表參考:

https://security.archlinux.org/CVE-2017-13089

https://security.archlinux.org/CVE-2017-13090

臨時(shí)解決方案:

Wget是Unix/linux上基本組件,建議使用Linux發(fā)行版的企業(yè)通過(guò)安全配置基線統(tǒng)一實(shí)施加固措施,如:限制Wget訪問(wèn)外部HTTP服務(wù)。

附:參考鏈接:

https://www.viestintavirasto.fi/en/cybersecurity/vulnerabilities/2017/haavoittuvuus-2017-037.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13089

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13090

http://www.cnvd.org.cn/flaw/show/CNVD-2017-32886

http://www.cnvd.org.cn/flaw/show/CNVD-2017-32885