3月6日,US-CERT发布了一个有关存在17年之久的远程代码执行漏洞的公告,该漏洞影响点对点协议守护程序(pppd)软件,几乎影响所有基于Linux的操作系统和网络设备固件。 该漏洞是CVSS评分为9.8的堆栈缓冲区溢出漏洞(CVE-2020-8597)。
该公告说:
“此漏洞是由于在将提供的数据复制到内存之前验证输入大小时出错。 由于数据大小的验证不正确,因此可以将任意数据复制到内存中并导致内存损坏,从而可能导致执行不需要的代码。
该漏洞在eap解析代码的逻辑中,特别是在eap.c中由网络输入处理程序调用的eap_request() a和 eap_response()函数中。
如果未启用EAP或远程对等方未使用密码或口令协商EAP,则认为pppd不易受攻击是不正确的。 这是由于经过身份验证的攻击者仍然能够发送未经请求的EAP数据包来触发缓冲区溢出。”
受影响版本
- Point-to-Point Protocol Daemon(pppd) 版本 2.4.2 到 2.4.8
受影响的系统和设备
- Debian
- Linux
- NetBSD
- Enterprise Linux
- Cisco CallManager
- TP-LINK
- OpenWRT Embedded OS
- Synology (DiskStation Manager, VisualStation, Router Manager)
解决方法
目前,pppd和某些Linux系统已经发布了针对受支持产品的安全补丁,以修复该漏洞。 受影响的用户应尽快安装补丁。