3月6日,US-CERT发布了一个关于影响PPP daemon(pppd)软件的存在17年之久的远程代码执行漏洞的公告,影响几乎所有基于Linux的操作系统以及网络设备固件。该漏洞为栈缓冲溢出漏洞(CVE-2020-8597),CVSS评分为9.8分;pppd中的eap.c在eap_request和eap_response函数中rhostname参数存在缓冲区溢出,未经身份验证的攻击者发送恶意伪造的EAP包,可在受影响的系统中远程执行任意代码。
一. 漏洞概述
3月6日,US-CERT发布了一个关于影响PPP daemon(pppd)软件的存在17年之久的远程代码执行漏洞的公告,影响几乎所有基于Linux的操作系统以及网络设备固件。该漏洞为栈缓冲溢出漏洞(CVE-2020-8597),CVSS评分为9.8分;pppd中的eap.c在eap_request和eap_response函数中rhostname参数存在缓冲区溢出,未经身份验证的攻击者发送恶意伪造的EAP包,可在受影响的系统中远程执行任意代码。
pppd软件是Point-to-Point Protocol (PPP)的一个实现,PPP协议可以在节点之间进行通信和数据传输,主要用于建立互联网连接,比如拨号模块、DSL宽带和VPN(虚拟所有网络)。pppd是一个在应用层中的守护进程,其功能为实现ppp策略性的内容,包括所有鉴权、压缩/解压和加密/解密等扩展功能的控制协议。由于pppd通常以高权限运行且与内核驱动程序一起运作,因此该漏洞可能使攻击者以system或root权限执行恶意代码。
参考链接:
https://www.debian.org/security/2020/dsa-4632
https://thehackernews.com/2020/03/ppp-daemon-vulnerability.html
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8597.html
二、影响范围
受影响版本
2.4.2 =< pppd =< 2.4.8
受影响的系统与设备
Debian
Ubuntu
SUSE Linux
Fedora
NetBSD
Red Hat Enterprise Linux
Cisco CallManager
TP-LINK
OpenWRT Embedded OS
Synology(DiskStation Manager、VisualStation、Router Manager)
三、漏洞防护
3.1 安装补丁
目前pppd官方与部分Linux系统已针对受支持的产品发布了修复该漏洞的安全补丁,请受影响的用户尽快安装进行防护。
| 厂商产品 | 修复版本 | 参考链接 |
| pppd | 8d7970b8f3db727fe798b65f3377fe6787575426 | https://github.com/paulusmack/ppp/commit/8d7970b8f3db727fe798b65f3377fe6787575426 |
| Centos | ppp 2.4.5-34 | https://centos.pkgs.org/7/centos-updates-x86_64/ppp-2.4.5-34.el7_7.x86_64.rpm.html |
| Ubuntu 12.04 ESM (Precise Pangolin): | released (2.4.5-5ubuntu1.3) | https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8597.html |
| Ubuntu 14.04 ESM (Trusty Tahr): | released (2.4.5-5.1ubuntu2.3+esm1) | https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8597.html |
| Ubuntu 16.04 LTS (Xenial Xerus): | released (2.4.7-1+2ubuntu1.16.04.2) | https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8597.html |
| Ubuntu 18.04 LTS (Bionic Beaver): | released (2.4.7-2+2ubuntu1.2) | https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8597.html |
| Ubuntu 19.10 (Eoan Ermine): | released (2.4.7-2+4.1ubuntu4.1) | https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8597.html |
| Ubuntu 20.04 (Focal Fossa): | released (2.4.7-2+4.1ubuntu5) | https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-8597.html |
| debian 8 | ppp 2.4.6-3.1+deb8u1 | https://security-tracker.debian.org/tracker/source-package/ppp |
| debian 9 | ppp 2.4.7-1+4+deb9u1 | https://www.debian.org/security/2020/dsa-4632 |
| debian 10 | ppp 2.4.7-2+4.1+deb10u1 | https://www.debian.org/security/2020/dsa-4632 |
注:建议使用yum、apt等软件包管理工具进行安装。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。