描述:
在 pppd (Point-to-Point Protocol Daemon) 的 eap_request 和 eap_response 所處理的 Extensible Authentication Protocol (EAP) 封包中發現一個漏洞。未通過認證的遠端攻擊者可以向受影響的系統傳送特製的封包從而攻擊這個漏洞。
在pppd(點對點協議守護程序)的eap_request和eap_response中的可擴展身份驗證協議(EAP)數據
受影響的系統:
影響:
成功利用這些漏洞可以導致在受影響的系統執行任意程式碼。
建議:
有些產品供應商已經或計劃就他們以下 Linux/Unix 系統的漏洞提供解決措施。以下列表並不包括所有受影響的系統,我們建議你諮詢產品供應商以確定修補程式的情況。系統管理員應安裝修補程式或遵從產品供應商的建議以降低風險。
- Debian
https://security-tracker.debian.org/tracker/CVE-2020-8597
- openSUSE
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00006.html
- Oracle Linux
https://linux.oracle.com/errata/ELSA-2020-0633.html
- RedHat
https://access.redhat.com/errata/RHSA-2020:0630
https://access.redhat.com/errata/RHSA-2020:0631
https://access.redhat.com/errata/RHSA-2020:0633
https://access.redhat.com/errata/RHSA-2020:0634
- Slackware
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2020&m=slackware-security.426655
- SUSE
https://www.suse.com/security/cve/CVE-2020-8597/
- Ubuntu
https://usn.ubuntu.com/4288-1/
https://usn.ubuntu.com/4288-2/
進一步資訊:
https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability
https://www.kb.cert.org/vuls/id/782301/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597