libcue<=2.2.1 任意代码执行漏洞【POC公开】
漏洞描述
libcue 是一个用于解析和操作 CUE 文件的开源 C 语言库,CUE 文件用于记录光盘音乐信息、轨道布局等信息。GNOME 是UNIX系统/类UNIX操作系统的桌面环境,其中的tracker-miners组件用于对目录中的文件建立索引,tracker-miners 的子模块 tracker-extract 用于扫描下载的文件。
libcue 2.2.1及之前版本存在整数溢出漏洞,tracker-extract 引入了libcue,攻击者可诱导使用 GNOME 桌面环境的用户下载恶意 cue 文件远程执行任意代码。
初步排查:Gentoo、Arch Linux、Ubuntu、Debian Linux发行版均已发布新版本,红帽、CentOS、Fedora、OpenSuse 系统暂未修复。
漏洞名称 | libcue<=2.2.1 任意代码执行漏洞【POC公开】 |
---|---|
漏洞类型 | 越界写入 |
发现时间 | 2023-10-10 |
漏洞影响广度 | 一般 |
MPS编号 | MPS-lrb0-1kom |
CVE编号 | CVE-2023-43641 |
CNVD编号 | - |
影响范围
libcue@(-∞, 2.2.1]
libcue@影响所有版本
修复方案
官方已发布补丁:https://github.com/lipnitsk/libcue/commit/fdf72c8bded8d24cfa0608b8e97f2eed210a920e
参考链接
https://www.oscs1024.com/hd/MPS-lrb0-1kom
https://nvd.nist.gov/vuln/detail/CVE-2023-43641
https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/
https://github.com/lipnitsk/libcue/commit/fdf72c8bded8d24cfa0608b8e97f2eed210a920e
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Firefox 118.0.2 发布
Firefox 118.0.2 现已发布,此版本进行了一些 bug 修复。具体更新内容如下: Fixed 修复了 betsoft.com 上无法加载的游戏(bug 1856145) 修复了某些 SVG 图像的 printing 问题(bug 1853727) 修复了带验证的 CORS XHR不再工作的问题(bug 1855650) 修复了 h264 WebRTC 视频在某些情况下无法工作的问题(bug 1855636) 修复了 Firefox 翻译在某些页面上不起作用的问题(bugs 1841656 - 1855307) 稳定性修复(bugs 1851991 - 1799326 - 1856637) 更新说明:https://www.mozilla.org/en-US/firefox/118.0.2/releasenotes/
- 下一篇
RISC-V:不受任何单一公司或国家的控制
路透社此前发文称RISC-V 技术将成为中美科技战的新战场,多名美国政客以国家安全为由,敦促拜登政府对 RISC-V 采取行动,呼吁拜登政府对 RISC-V 相关技术的出口实施限制。 10 月 10 日,RISC-V 国际基金会发布了一篇名为“RISC-V:由全球社区支持的开放标准,为所有人提供开放计算”的文章。例举了RISC-V 具有战略重要性的三个关键原因: 几十年来,开放标准对于技术创新、采用和发展至关重要 开放标准为广泛的利益相关者(就业、消费者、研究、学术界、工业界等)创造机会并刺激增长 RISC-V 是定义的开放标准计算指令集架构 基金会 CEOCalista Redmond 在文章中表明,RISC-V 将会继续存在。RISC-V 是一个开放标准,吸收了来自世界各地的有意义的贡献。作为全球标准,RISC-V 不受任何单一公司或国家的控制。并强调: RISC-V 规范的开发基于非专有的贡献或均匀分布在北美、欧洲和亚洲的 RISC-V 成员公开培养的贡献。RISC-V International 不提供芯片设计、开源内核、专有 IP 或实现,而是发布一组常用的全球开放标准。这些...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- SpringBoot2全家桶,快速入门学习开发网站教程
- MySQL8.0.19开启GTID主从同步CentOS8