漏洞背景
近日,嘉诚安全监测到libcue库中存在内存损坏漏洞,目前该漏洞的细节及PoC已公开,漏洞编号为:CVE-2023-43641。
Libcue(Cue sheet parser library)是一个用于解析CUE文件(Cuesheet,光盘映像辅助文件)的开源库,它集成到Tracker Miners文件元数据索引器中,默认情况下该索引器包含在GNOME中。GNOME是一种在各种Linux发行版(例如 Debian、Ubuntu、Fedora、Red Hat Enterprise 和 SUSE Linux Enterprise)中广泛使用的桌面环境。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏为高危漏洞。攻击者可通过诱导GNOME桌面环境的用户下载恶意制作的.cue文件来利用该漏洞,由于该文件保存到“~/Downloads”,因此tracker-miners会自动扫描该文件,且由于该文件的扩展名为.cue,tracker-miners会使用libcue解析该文件,可能导致利用libcue中的漏洞触发越界数组访问,从而导致进程崩溃或执行任意代码。
危害影响
影响范围:
Libcue 版本 <= 2.2.1
注:该漏洞可能会影响运行GNOME桌面环境的某些Linux发行版,包括Debian、Fedora和Ubuntu等,已知影响Ubuntu 23.04和Fedora 38。
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本,即Libcue 版本 > 2.2.1,并注意防范下载可疑文件(如包含.cue扩展名的可疑文件)。
下载链接请参考:
https://github.com/lipnitsk/libcue/releases
原文始发于微信公众号(嘉诚安全):【漏洞通告】libcue内存损坏漏洞安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论