CVE编号
CVE-2021-35267利用情况
暂无补丁情况
官方补丁披露时间
2021-09-07漏洞描述
Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。 NTFS-3G 存在安全漏洞,该漏洞源于在低于 2021.8.22 的 Tuxera NTFS-3G 版本中,在修正 MFT 和 MFTMirror 中的差异时可能会发生堆栈缓冲区溢出,从而允许在 setuid-root 时执行代码或提升权限。解决建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://github.com/tuxera/ntfs-3g。
参考链接 |
|
|---|---|
| http://ntfs-3g.com | |
| http://www.openwall.com/lists/oss-security/2021/08/30/1 | |
| https://github.com/tuxera/ntfs-3g/security/advisories/GHSA-q759-8j5v-q5jp | |
| https://lists.debian.org/debian-lts-announce/2021/11/msg00013.html | |
| https://lists.fedoraproject.org/archives/list/[email protected]... | |
| https://lists.fedoraproject.org/archives/list/[email protected]... | |
| https://www.debian.org/security/2021/dsa-4971 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | tuxera | ntfs-3g | * |
Up to (excluding) 2021.8.22 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | ntfs-3g | * |
Up to (excluding) 1:2017.3.23AR.3-3+deb10u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | ntfs-3g | * |
Up to (excluding) 1:2017.3.23AR.3-4+deb11u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | ntfs-3g | * |
Up to (excluding) 2017.3.23AR.3-4 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | ntfs-3g | * |
Up to (excluding) 1:2016.2.22AR.1+dfsg-1+deb9u2 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_33 | ntfs-3g | * |
Up to (excluding) 2021.8.22-2.fc33 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_35 | ntfs-3g | * |
Up to (excluding) 2021.8.22-2.fc35 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_7 | ntfs-3g | * |
Up to (excluding) 2021.8.22-2.el7 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_EPEL_8 | ntfs-3g | * |
Up to (excluding) 2021.8.22-2.el8 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.2 | ntfs-3g | * |
Up to (excluding) 2021.8.22-lp152.5.3.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.3 | ntfs-3g | * |
Up to (excluding) 2021.8.22-3.8.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_14.04 | ntfs-3g | * |
Up to (excluding) 1:2013.1.13AR.1-2ubuntu2+esm1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_16.04 | ntfs-3g | * |
Up to (excluding) 1:2015.3.14AR.1-1ubuntu0.3+esm1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_18.04 | ntfs-3g | * |
Up to (excluding) 1:2017.3.23-2ubuntu0.18.04.3 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_20.04 | ntfs-3g | * |
Up to (excluding) 1:2017.3.23AR.3-3ubuntu1.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_21.04 | ntfs-3g | * |
Up to (excluding) 1:2017.3.23AR.3-3ubuntu4.1 |
|||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 服务器失陷
- 全网数量 N/A
还没有评论,来说两句吧...