aria2 安全漏洞

CVE编号

CVE-2019-3500

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-01-02

漏洞描述

aria2是一款跨平台的轻量级文件下载实用程序。该程序支持HTTP/HTTPS、FTP、SFTP、BitTorrent和Metalink等协议。 aria2 1.33.1版本中的aria2c存在安全漏洞，该漏洞源于程序将HTTP Basic Authentication用户名和密码存储在文件中。本地攻击者可通过读取文件利用该漏洞获取敏感信息。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/aria2/aria2/issues/1329
https://lists.debian.org/debian-lts-announce/2019/01/msg00012.html
https://lists.debian.org/debian-lts-announce/2021/12/msg00039.html
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://usn.ubuntu.com/3965-1/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	aria2_project	aria2	1.33.1	-
	运行在以下环境
	系统	alpine_3.7	aria2	*		Up to (excluding) 1.33.1-r1
	运行在以下环境
	系统	debian_8	aria2	*		Up to (excluding) 1.18.8-1+deb8u1
	运行在以下环境
	系统	debian_9	aria2	*		Up to (excluding) 1.30.0-2+deb9u1
	运行在以下环境
	系统	fedora_28	aria2	*		Up to (excluding) 1.34.0-4.fc28
	运行在以下环境
	系统	fedora_29	aria2	*		Up to (excluding) 1.34.0-4.fc29
	运行在以下环境
	系统	fedora_30	aria2	*		Up to (excluding) 1.34.0-4.fc30
	运行在以下环境
	系统	fedora_EPEL_7	aria2	*		Up to (excluding) 1.34.0-4.el7
	运行在以下环境
	系统	opensuse_Leap_15.0	aria2	*		Up to (excluding) 1.33.1-lp150.5.1
	运行在以下环境
	系统	opensuse_Leap_15.2	aria2	*		Up to (excluding) 1.35.0-bp153.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.3	aria2	*		Up to (excluding) 1.35.0-bp153.2.3.1
	运行在以下环境
	系统	opensuse_Leap_42.3	aria2	*		Up to (excluding) 1.33.1-lp150.5.1
	运行在以下环境
	系统	ubuntu_14.04	aria2	*		Up to (excluding) 1.18.1-1ubuntu0.1~esm1
查看完整数据

阿里云评分 2.6

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-532 通过日志文件的信息暴露