【安全公告:UTSA-2022-001020】-【CVE-2022-40284】

公告编号:作者:USRC发布日期:2022/11/24

邮件

【统信安全公告: UTSA-2022-001020】-【CVE-2022-40284】

一、漏洞描述
  • A buffer overflow was discovered in NTFS-3G before 2022.10.3. Crafted metadata in an NTFS image can cause code execution. A local attacker can exploit this if the ntfs-3g binary is setuid root. A physically proximate attacker can exploit this if NTFS-3G software is configured to execute upon attachment of an external storage device.
二、漏洞信息
  • CVE编号:CVE-2022-40284
  • CWE类型:Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
  • CVSS3评分:7.8
  • 漏洞评级:high
三、受影响UOS版本
  • 服务器E版105X
四、受影响包
  • ntfs-3g
五、修复版本
  • ntfs-3g-2022.5.17-2.uel20
六、修复方法
  • yum update PackageName
七、是否受影响判断
  • 判断方法:yum info PackageName
  • 结果说明:版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复。
八、参考链接
  • https://gitee.com/src-openeuler/ntfs-3g/issues/I5YPCC
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40284
  • https://nvd.nist.gov/vuln/detail/CVE-2022-40284