安全公告/【CVE-2023-50229】
基本信息
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:bluez
CVSS评分:5.8
发现日期:2024-09-19
修复日期:2024-10-11
漏洞描述
BlueZ 电话簿访问配置文件基于堆的缓冲区溢出远程代码执行漏洞。此漏洞允许网络相邻的攻击者在受影响的 BlueZ 安装上执行任意代码。利用此漏洞需要用户交互,因为目标必须连接到恶意蓝牙设备。 特定缺陷存在于电话簿访问配置文件的处理中。该问题是由于在将用户提供的数据复制到固定长度的基于堆的缓冲区之前没有对其进行长度的正确验证。攻击者可以利用此漏洞在 root 上下文中执行代码。原为 ZDI-CAN-20936。
修复方式
软件包升级 dnf update bluez