發布日期: 2025年 4月 23日
Erlang 發布了一個安全公告,以應對 Erlang/OTP 的一個漏洞。遠端攻擊者可以通過傳送特製的請求,從而發動攻擊。
有報告指漏洞 (CVE- 2025-32433) 的概念驗證 (PoC) 程式碼已被公開。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
成功利用漏洞可以導致受影響的系統發生遠端執行程式碼。
Erlang 發布了有關產品的新版本以應對相關問題。用戶可從以下網址下載:
(OTP-27)
https://github.com/erlang/otp/releases/tag/OTP-27.3.3
(OTP-26)
https://github.com/erlang/otp/releases/tag/OTP-26.2.5.11
(OTP-25)
https://github.com/erlang/otp/releases/tag/OTP-25.3.2.20
除了內部和自主開發的系統或應用程式外,商業產品和開源軟體或程式庫也可能受此漏洞的影響。我們在下方列出了產品供應商發布的部分安全公告。我們強烈建議用戶向產品供應商查詢正在使用的軟件產品是否受到影響,以及相應修補程式或緩解措施是否已可獲取。
Cisco
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-erlang-otp-ssh-xyZZy
如無法立即安裝修補程式,受影響系統的系統管理員應遵循產品供應商提供的建議,立即採取以下措施降低風險:
停用 SSH 伺服器或透過防火牆規則阻止存取。