Ещё

17-летняя уязвимость в PPPD подвергает Linux-системы риску удаленных атак 

Команда US-CERT предупредила о критической уязвимости в демоне протокола PPP, реализованном в большинстве операционных систем на базе Linux, а также в прошивках различных сетевых устройств.
Проблема (CVE-2020-8597) представляет собой уязвимость переполнения буфера стека, возникшую из-за логической ошибки в EAP (Extensible Authentication Protocol) парсере пакетов в PPPD (функции eap_request () и eap_response () в eap. c). Уязвимость предоставляет возможность без авторизации удаленно выполнить произвольный код на уязвимых системах и получить полный контроль над ними. Для этого атакующему потребуется отправить специально сформированный EAP-пакет на уязвимый PPP-клиент или сервер.
Поскольку PPPD нередко работает с повышенными привилегиями и совместно с драйверами ядра, вышеуказанная уязвимость также потенциально может использоваться для выполнения вредоносного кода с правами суперпользователя.
Проблема затрагивает версии PPPD с 2.4.2 по 2.4.8 — то есть все, выпущенные за последние 17 лет. Подтверждено, что уязвимости подвержены следующие дистрибутивы Linux:
Debian;
Ubuntu;
SUSE Linux;
Fedora;
NetBSD;
Red Hat Enterprise Linux
а также проекты:
CallManager;
Продукты TP-LINK;
OpenWRT Embedded OS;
Synology (DiskStation Manager, VisualStation, Router Manager)
В настоящее время нет информации о попытках эксплуатации данной уязвимости.
PPP — протокол, используемый для установки межсетевых соединений через модемы, соединения DSL и многие другие типы соединений точка-точка. Демон pppd работает совместно с драйвером PPP ядра для установки и поддержания соединения PPP с другой системой (называемой партнером) и согласования IP-адресов для каждого конца соединения. Рppd также может аутентифицировать партнера и/или предоставлять партнеру информацию для аутентификации. PPP можно использовать с другими сетевыми протоколами, отличными от IP, но такое применение становится все более редким.
Видео дня. SpaceX Илона Маска отправила в космос ещё 60 спутников Starlink
Комментарии
Читайте также
Новости партнеров
Больше видео