保安警報 (A20-03-01): Point-to-Point Protocol Daemon (pppd) 漏洞

描述:

在 pppd (Point-to-Point Protocol Daemon) 的 eap_request 和 eap_response 所處理的 Extensible Authentication Protocol (EAP) 封包中發現一個漏洞。未通過認證的遠端攻擊者可以向受影響的系統傳送特製的封包從而攻擊這個漏洞。

在pppd（點對點協議守護程序）的eap_request和eap_response中的可擴展身份驗證協議（EAP）數據

受影響的系統:

• pppd 版本由 2.4.2 至 2.4.8

影響:

成功利用這些漏洞可以導致在受影響的系統執行任意程式碼。

建議:

有些產品供應商已經或計劃就他們以下 Linux/Unix 系統的漏洞提供解決措施。以下列表並不包括所有受影響的系統，我們建議你諮詢產品供應商以確定修補程式的情況。系統管理員應安裝修補程式或遵從產品供應商的建議以降低風險。

• Debian
  https://security-tracker.debian.org/tracker/CVE-2020-8597
  
  
• openSUSE
  https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00006.html
  
  
• Oracle Linux
  https://linux.oracle.com/errata/ELSA-2020-0633.html
  
  
• RedHat
  https://access.redhat.com/errata/RHSA-2020:0630
  https://access.redhat.com/errata/RHSA-2020:0631
  https://access.redhat.com/errata/RHSA-2020:0633
  https://access.redhat.com/errata/RHSA-2020:0634
  
  
• Slackware
  http://www.slackware.com/security/viewer.php?l=slackware-security&y=2020&m=slackware-security.426655
  
  
• SUSE
  https://www.suse.com/security/cve/CVE-2020-8597/
  
  
• Ubuntu
  https://usn.ubuntu.com/4288-1/
  https://usn.ubuntu.com/4288-2/
  
  

進一步資訊:

https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability
https://www.kb.cert.org/vuls/id/782301/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597