【漏洞通告】Linux系统pppd远程代码执行漏洞(CVE-2020-8597)

3月6日,US-CERT发布了一个关于影响PPP daemon(pppd)软件的存在17年之久的远程代码执行漏洞的公告,影响几乎所有基于Linux的操作系统以及网络设备固件。该漏洞为栈缓冲溢出漏洞(CVE-2020-8597),CVSS评分为9.8分;pppd中的eap.c在eap_request和eap_response函数中rhostname参数存在缓冲区溢出,未经身份验证的攻击者发送恶意伪造的EAP包,可在受影响的系统中远程执行任意代码。