公告ID(KYSA-202104-1329)
公告ID:KYSA-202104-1329
公告摘要:zziplib安全漏洞
等級(jí):Moderate
發(fā)布日期:2021-04-08
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2018-16548
描述:從0.13.69在ZZIPlib中發(fā)現(xiàn)了一個(gè)問題。在zip.c中的函數(shù)\uzzip_parse_root_目錄中觸發(fā)內(nèi)存泄漏�����,這將導(dǎo)致拒絕服務(wù)攻擊����。
·CVE-2018-6541
描述:在ZZIPlib 0.13.67中,由于在__zzip_fetch_disk_trailer(zzip / zip.c)中加載未對(duì)齊的地址(在處理disk64_trailer本地條目時(shí))而導(dǎo)致總線錯(cuò)誤�。遠(yuǎn)程攻擊者可以利用此漏洞通過精心制作的zip文件導(dǎo)致拒絕服務(wù)。
·CVE-2018-7725
描述:使用ZZIPlib mem_disk功能時(shí)�����,在ZZIPlib的zzip_disk_fread函數(shù)(最大為0.13.68)中發(fā)現(xiàn)超出范圍的讀取����。遠(yuǎn)程攻擊者可以利用此漏洞通過精心制作的zip文件導(dǎo)致拒絕服務(wù)。
·CVE-2018-7726
描述:在ZZIPlib的function__zzip_fetch_disk_trailer中發(fā)現(xiàn)不正確的輸入驗(yàn)證���,最高為0.13.68��,這可能導(dǎo)致zzip / zip.c的__zzip_parse_root_directory函數(shù)崩潰���。 遠(yuǎn)程攻擊者可以利用此漏洞通過精心制作的zip文件導(dǎo)致拒絕服務(wù)。
·CVE-2018-7727
描述:在ZZIPlib的unzip-mem.c和unzzip-mem.c中發(fā)現(xiàn)了內(nèi)存泄漏���,直到v0.13.68�����,這可能導(dǎo)致資源耗盡����。本地攻擊者可以利用此漏洞通過精心制作的zip文件導(dǎo)致拒絕服務(wù)�����。
2.受影響的軟件包
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
·aarch64架構(gòu):
zziplib����、zziplib-devel、zziplib-utils
·x86_64架構(gòu):
zziplib����、zziplib-devel、zziplib-utils
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7 (aarch64�����、x86_64)
zziplib-0.13.62-11.el7或以上版本
zziplib-devel-0.13.62-11.el7或以上版本
zziplib-utils-0.13.62-11.el7或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開軟件包源配置文件�����,根據(jù)倉庫地址進(jìn)行修改。
倉庫源地址:
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
aarch64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)���,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過軟件包地址下載軟件包�����,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2018-16548:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2018-6541:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2018-7725:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2018-7726:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2018-7727:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
5.軟件包下載地址
·中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng) V7
zziplib(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/zziplib-0.13.62-11.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/zziplib-devel-0.13.62-11.el7.aarch64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/zziplib-utils-0.13.62-11.el7.aarch64.rpm
zziplib(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/zziplib-0.13.62-11.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/zziplib-0.13.62-11.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/zziplib-devel-0.13.62-11.el7.i686.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/zziplib-devel-0.13.62-11.el7.x86_64.rpm
https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/zziplib-utils-0.13.62-11.el7.x86_64.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令�,查看相關(guān)軟件包版本是否與修復(fù)版本一致,如果版本一致�,則說明修復(fù)成功。
sudo rpm -qa | grep Packagename
