【漏洞公告】Deepin-deb-installer-dependsInstall命令注入漏洞(UT-2021-0056)

公告编号:作者:USRC发布日期:2021/04/26

【漏洞公告】Deepin-deb-installer-dependsInstall命令注入漏洞(UT-2021-0056


一、漏洞描述

        Deepin-deb-installer-dependsInstall Install DebThread::getDescription()函数中存在命令注入漏洞,攻击者可以通过伪造deb安装包引诱用户安装进行任意代码执行,并且Deepin-deb-installer-dependsInstall在sudo的白名单中无需用户获取开发者模式。攻击者就可以使用本地普通用户利用sudo获得系统root权限。

 

二、漏洞信息

        漏洞编号:UT-2021-0056

        软件包名:deepin-deb-installer

        漏洞评级:高危

        CVSS3.1评分:7.7

        受影响版本

                低于deepin-deb-installer 5.7.0.46-1的版本

      

三、受影响UOS版本

        UOS桌面专业版1031及之前的版本

        UOS桌面个人版1030及之前的版本

        UOS服务器企业版1031及之前的版本

 

四、漏洞检测

        检测方法如下:

                执行apt policy deepin-deb-installer查看deepin-deb-installer版本号是否在受影响版本范围

        结果如下:

                输出信息小于5.7.0.46-1开头,表示受影响,需要修复。

                输出信息大于等于5.7.0.46-1开头,表示已安装补丁,无需修复。

 

五、修复建议

        更新UOS操作系统

                个人版、专业版,通过控制中心-更新-检查更新-安装更新进行升级

                服务器企业版,可以通过终端安装更新sudo apt update && apt dist-upgrade

 

六、修复状态

        2021-04-14 确认UOS受漏洞影响

        2021-04-25 修复后deepin-deb-installer软件包版本集成发布

                修复后版本: 5.7.0.46-1

 

七、修复验证

        通过查看操作系统版本验证,通过控制中心-系统信息-关于本机-版本查看

        通过查看deepin-deb-installer软件包版本验证,终端执行apt policy deepin-deb-installer命令查看已安装版本

        通过漏洞检测方式验证