3月6日、米国のCERTは、発行され、事実上すべてのLinuxベースのオペレーティングシステムとネットワークデバイスのファームウェアに影響を与え、ポイントプロトコルデーモン(pppdの)ソフトウェアへのポイントに影響を与える可能性がある17歳のリモートでコードが実行される脆弱性の存在に関する発表を。脆弱性は、CVSSスコアオーバーフローの脆弱性(CVE-2020から8597)9.8バッファスタックがあります。
発表は言いました:
「この脆弱性は、提供されるデータをコピーする前に、メモリの入力サイズを検証するためのエラーです。検証のデータサイズが間違っているので、コードする必要はありませんつながる可能性がある、メモリおよび原因メモリ破損に任意のデータをコピーすることが可能です。
eap.c入力ハンドラ(と呼ばれるネットワークによる特定の脆弱性eap_request EAP解析ロジックコード)及びeap_response()関数。
EAPまたはリモートピアがEAPを交渉したパスワードまたはパスワードを使用していない有効になっていない場合は、脆弱pppdが間違っているとはみなされません。認証された攻撃の後、まだバッファオーバーフローを誘発するために迷惑EAPパケットを送信することができるからです。"
影響を受けるバージョン
- ポイントツーポイントプロトコルデーモン(pppdの)2.4.8にバージョン2.4.2
影響を受けるシステムおよび機器
- Debianの
- Linuxの
- NetBSDの
- Enterprise Linuxの
- Cisco Unified CallManagerの
- TP-LINK
- OpenWrtの組み込みOS
- Synology(DiskStationのマネージャー、VisualStation、ルーターマネージャー)
ソリューション
現時点では、pppdは、いくつかのLinuxシステムでは、脆弱性を修正するためにサポートされている製品のためのセキュリティパッチをリリースしました。影響を受けるユーザーは、できるだけ早くパッチをインストールする必要があります。