发布日期: 2025年 4月 23日
Erlang 发布了一个安全公告,以应对 Erlang/OTP 的一个漏洞。远端攻击者可以通过传送特制的请求,从而发动攻击。
有报告指漏洞 (CVE- 2025-32433) 的概念验证 (PoC) 程式码已被公开。系统管理员应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。
成功利用漏洞可以导致受影响的系统发生远端执行程式码。
Erlang 发布了有关产品的新版本以应对相关问题。用户可从以下网址下载:
(OTP-27)
https://github.com/erlang/otp/releases/tag/OTP-27.3.3
(OTP-26)
https://github.com/erlang/otp/releases/tag/OTP-26.2.5.11
(OTP-25)
https://github.com/erlang/otp/releases/tag/OTP-25.3.2.20
除了内部和自主开发的系统或应用程式外,商业产品和开源软体或程式库也可能受此漏洞的影响。我们在下方列出了产品供应商发布的部分安全公告。我们强烈建议用户向产品供应商查询正在使用的软件产品是否受到影响,以及相应修补程式或缓解措施是否已可获取。
Cisco
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-erlang-otp-ssh-xyZZy
如无法立即安装修补程式,受影响系统的系统管理员应遵循产品供应商提供的建议,立即採取以下措施降低风险:
停用 SSH 伺服器或透过防火墙规则阻止存取。