【漏洞公告】UOS个人版存在任意文件读取漏洞(CNVD-2021-33225)

公告编号:作者:USRC发布日期:2021/06/26

【漏洞公告】UOS个人版存在任意文件读取漏洞(CNVD-2021-33225)


一、漏洞描述

统信软件安全技术部于2021-06-09收到国家信息安全漏洞共享平台(简称CNVD)通报UOS个人版存在任意文件读取漏洞,利用该漏洞无需任何校验就可以任意文件读,影响UOS桌面专业版1020。

 

二、漏洞信息

漏洞编号:CNVD-2021-33225

软件包名:dde-daemon

漏洞评级:中

CVSS3.1评分:4.9(CNVD-2021-33225)

 

三、受影响UOS版本

影响UOS桌面专业版1020的版本

 

四、漏洞检测

检测方法如下:

                通过apt policy dde-daemon查看dde-daemon的版本信息

结果如下:

                dde-daemon<5.12.0.4受此漏洞影响,dde-daemon=>5.12.0.4此漏洞已修复

 

五、修复建议

更新版本

                通过控制中心-更新-检查更新-安装更新进行升级-重启

                使用修复版本,修复版本deb包下载链接:

https://home-packages.chinauos.com/home/pool/main/d/dde-daemon/dde-daemon_5.12.63-1_amd64.deb


六、修复状态

此漏洞已于2020-11-27日修复

2020-12-03更新至外网仓库源

 

七、修复验证

查看dde-daemon=>5.12.0.4,说明此漏洞已修复。

 

八、相关链接