【漏洞预警】Slackware Linux 代码执行漏洞(CVE-2022-1154)
01
漏洞描述
Slackware Linux 是由Patrick Volkerding 开发的 GNU/Linux 发行版,最初基于Softlanding Linux System(SLS)。与很多其他的发行版不同,它坚持KISS(Keep It Simple Stupid)原则。新手用户配置系统会有一些困难,但是更有经验的用户会喜欢这种方式的透明性和灵活性。Slackware 的很多特性体现出了 KISS 原则,典型的例子就是不依赖图形界面的文本化系统配置,传统的服务管理方式和不解决依赖的包管理。Slackware 作为较古老的Linux发行版之一,相比其他的主流发行版更希望成为具有“UNIX风格”的那一个,一直以来以简洁、安全和稳定所著称。近期,Slackware Linux 安全团队公布其产品存在代码执行漏洞(CVE-2022-1154)。攻击者可利用 regexp_bt.c 中 utf_ptr2char()函数的缺陷,通过发送特殊设计的恶意文件诱使受害者打开,从而触发后,造成使用错误,绕过保护机制,修改内存,并可能执行任意代码。
02
漏洞危害
攻击者发送恶意代码,对目标执行各种操作,包括执行恶意软件、数据泄露。获取企业敏感信息,继承Web服务器权限,读写文件。甚至控制整个网站甚至服务器。
03
影响范围
Slackware 15.0
Slackware x86_64 15.0
Slackware x86_64 -current
Slackware -current
04
漏洞等级
高危
06
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2022&m=slackware-security.430440
END