更新ID(KYUA-202312-1055)
- 更新簡述:
- 在com.kylin.backup系統(tǒng)服務(wù)中存在接口提權(quán)漏洞
- 影響操作系統(tǒng)版本:
- 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1
銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2
銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP3
銀河麒麟高級服務(wù)器操作系統(tǒng)(Host版)V10
- 更新類型:
- 問題修復(fù)
- 發(fā)布時間:
- 2024-03-14
- 更新描述:
- 修復(fù)和更新方法
需要更新yhkylin-backup-tools版本到4.0.12-1.0.9kord1.p20或以上版本��。
更新方法(用root權(quán)限執(zhí)行以下命令):
yum update yhkylin-backup-tools
詳細介紹
一�����、問題復(fù)現(xiàn)方法/問題描述
在com.kylin.backup系統(tǒng)服務(wù)中存在接口,此接口普通用戶可以調(diào)用,可以讀取特定文件的內(nèi)容��,導(dǎo)致注入惡意的命令來實現(xiàn)提權(quán)的目的��。
二����、問題分析結(jié)果
將com.kylin.backup系統(tǒng)服務(wù)中存在接口實現(xiàn)的方法放到類中,變成類方法�,從com.kylin.backup系統(tǒng)服務(wù)中優(yōu)化com.kylin.backup.manager相應(yīng)接口。
三���、補丁及下載地址
從軟件倉庫更新
系統(tǒng)更新
