【漏洞公告】UOS个人版1010存在命令注入提权漏洞(CNVD-2021-31904)

公告编号:作者:USRC发布日期:2021/06/09

【漏洞公告】UOS个人版1010存在命令注入提权漏洞(CNVD-2021-31904)


一、漏洞描述

统信软件安全技术部于2021-05-30收到国家信息安全漏洞共享平台(简称CNVD)通UOS个人版1010存在命令注入提权漏洞利用该漏洞用户可由普通用户权限提升为root权限,影UOS个人版1010

 

二、漏洞信息

漏洞编号:CNVD-2021-31904

软件包名:com.deepin.lastore.Manager

漏洞评级:中危

CVSS3.1评分:6.5(CNVD-2021-31904)

 

三、受影响UOS版本

影响UOS个人版1010


四、漏洞检测

检测方法如下:

                终端输入lastore-tools -v

结果如下:

                lastore-tools -v输出的版本<0.9.18受此漏洞影响,>=0.9.18代表此漏洞已修复

 

五、修复建议

更新版本

                通过控制中心-更新-检查更新-安装更新进行升级-重启

                使用修复版本,修复版本deb包下载链接:

https://home-packages.chinauos.com/home/pool/main/l/lastore-daemon/lastore-daemon_5.1.42-1_amd64.deb


六、修复状态

2021-05-30日响应漏洞

经排查,此漏洞已于2020-7-27日完成修复

2020-08-02日更新至外网仓库源

 

七、修复验证

lastore-tools -v,在终端的输出信息为>=0.9.18代表此漏洞已修复。

 

八、相关链接

https://www.cnvd.org.cn/flaw/show/3315956