保安警报 (A20-03-01): Point-to-Point Protocol Daemon (pppd) 漏洞

描述:

在 pppd (Point-to-Point Protocol Daemon) 的 eap_request 和 eap_response 所处理的 Extensible Authentication Protocol (EAP) 封包中发现一个漏洞。未通过认证的远端攻击者可以向受影响的系统传送特制的封包从而攻击这个漏洞。

在pppd（点对点协议守护程序）的eap_request和eap_response中的可扩展身份验证协议（EAP）数据

受影响的系统:

• pppd 版本由 2.4.2 至 2.4.8

影响:

成功利用这些漏洞可以导致在受影响的系统执行任意程式码。

建议:

有些产品供应商已经或计划就他们以下 Linux/Unix 系统的漏洞提供解决措施。以下列表并不包括所有受影响的系统，我们建议你咨询产品供应商以确定修补程式的情况。系统管理员应安装修补程式或遵从产品供应商的建议以降低风险。

• Debian
  https://security-tracker.debian.org/tracker/CVE-2020-8597
  
  
• openSUSE
  https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00006.html
  
  
• Oracle Linux
  https://linux.oracle.com/errata/ELSA-2020-0633.html
  
  
• RedHat
  https://access.redhat.com/errata/RHSA-2020:0630
  https://access.redhat.com/errata/RHSA-2020:0631
  https://access.redhat.com/errata/RHSA-2020:0633
  https://access.redhat.com/errata/RHSA-2020:0634
  
  
• Slackware
  http://www.slackware.com/security/viewer.php?l=slackware-security&y=2020&m=slackware-security.426655
  
  
• SUSE
  https://www.suse.com/security/cve/CVE-2020-8597/
  
  
• Ubuntu
  https://usn.ubuntu.com/4288-1/
  https://usn.ubuntu.com/4288-2/
  
  

进一步信息:

https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability
https://www.kb.cert.org/vuls/id/782301/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597