1.漏洞描述 [此 CNA（通用漏洞評(píng)分系統(tǒng)）信息記錄與多個(gè) CVE 相關(guān)；文本解釋了哪些方面 / 漏洞對(duì)應(yīng)于哪個(gè) CVE。] libfsimage 包含針對(duì)幾種文件系統(tǒng)的解析代碼，其中大多數(shù)基于 grub 舊版代碼。libfsimage 被 pygrub 用于檢查客戶機(jī)磁盤(pán)。Pygrub 與工具棧以相同用戶身份運(yùn)行（在特權(quán)域中為 root 用戶）。至少有一個(gè)問(wèn)題已報(bào)告給 Xen 安全團(tuán)隊(duì)，該問(wèn)題允許攻擊者在 libfsimage 中觸發(fā)棧緩沖區(qū)溢出。經(jīng)過(guò)進(jìn)一步分析，Xen 安全團(tuán)隊(duì)不再對(duì)在具有超級(jí)用戶特權(quán)的情況下針對(duì)客戶機(jī)控制的輸入運(yùn)行 libfsimage 的適用性有信心。為了不影響依賴(lài)于 pygrub 的當(dāng)前部署，在公告的解決部分提供了補(bǔ)丁，這些補(bǔ)丁允許以非特權(quán)模式運(yùn)行 pygrub。CVE-2023-4949 指的是上游 grub 項(xiàng)目中的原始問(wèn)題（“具有對(duì)系統(tǒng)本地訪問(wèn)權(quán)限的攻擊者（通過(guò)磁盤(pán)或外部驅(qū)動(dòng)器）可以向 grub 舊版呈現(xiàn)修改后的 XFS 分區(qū)，從而利用 grub 的 XFS 文件系統(tǒng)實(shí)現(xiàn)中的內(nèi)存損壞?！保〤VE-2023-34325 專(zhuān)門(mén)指 Xen 的 libfsimage 副本中的漏洞，它源自非常舊版本的 grub。 2.影響產(chǎn)品(系統(tǒng)版本 是否受影響) 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP1 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP2 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng)（Host版）V10 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 HPC 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 2403 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 2309a 不影響 銀河麒麟云底座操作系統(tǒng) V10 不影響 銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 SP3 2309b 不影響 3.漏洞評(píng)分( 漏洞編號(hào) 危害程度 CVSS 3.1 評(píng)分 漏洞類(lèi)型) CVE-2023-34325 重要 7.8 其他 漏洞評(píng)分向量：CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 4.修復(fù)方案 無(wú)需修復(fù)