正文

Network Manager VPNC插件操作系统命令注入漏洞

admin
admin V管理员 /0 评论 /25 阅读
0212
此篇文章发布距今已超过1229天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Network Manager VPNC插件操作系统命令注入漏洞

  • CNNVD编号:CNNVD-201807-1903
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2018-10900
  • 漏洞类型: 操作系统命令注入
  • 发布时间: 2018-07-27
  • 威胁类型: 本地
  • 更新时间: 2020-10-22
  • 厂        商: debian
  • 漏洞来源:

漏洞简介

Network Manager VPNC plugin(networkmanager-vpnc)是一款支持连接Cisco VPN的虚拟网络管理器。

Network Manager VPNC插件1.2.6之前版本中存在安全漏洞,该漏洞源于换行字符可以被用来将Password helper参数注入到配置数据中并传入到VPNC。攻击者可利用该漏洞以root权限执行命令。

漏洞公告

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://gitlab.gnome.org/GNOME/NetworkManager-vpnc

参考网址

来源:CONFIRM

链接:https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10900

来源:CONFIRM

链接:https://bugzilla.novell.com/show_bug.cgi?id=1101147

来源:DEBIAN

链接:https://www.debian.org/security/2018/dsa-4253

来源:CONFIRM

链接:https://download.gnome.org/sources/NetworkManager-vpnc/1.2/NetworkManager-vpnc-1.2.6.news

来源:MLIST

链接:https://lists.debian.org/debian-lts-announce/2018/07/msg00048.html

来源:EXPLOIT-DB

链接:https://www.exploit-db.com/exploits/45313/

来源:CONFIRM

链接:https://gitlab.gnome.org/GNOME/NetworkManager-vpnc/commit/07ac18a32b4

来源:GENTOO

链接:https://security.gentoo.org/glsa/201808-03

来源:MISC

链接:https://pulsesecurity.co.nz/advisories/NM-VPNC-Privesc

受影响实体

  • Debian Debian_linux:8.0  
    <!--
    2000-1-1
    -->
  • Debian Debian_linux:9.0  
    <!--
    2000-1-1
    -->

补丁

  • Network Manager VPNC插件安全漏洞的修复措施
    <!--
    2018-7-27
    -->