來源:深信服官網
漏洞概述:
深信服EasyConnect客戶端存在本地提權漏洞。我司已釋出修復補丁,未修復且受影響使用者可聯絡當地服務人員或者撥打售後服務熱線400-630-6430獲取安全補丁包進行升級,完成漏洞修復。
版本和修復方案:
|
|
|
|
|---|---|---|
|
|
|
|
注意:Windows XP系統上的客戶端不支援更新該補丁,存在XP系統使用場景的客戶請勿升級
影響後果:
攻擊者可利用該漏洞在目標主機上將普通許可權提升為System許可權。
漏洞評級:
基礎得分:4.5(AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L)
臨時得分:4.1(E:P/RL:O/RC:C)
採用CVSS 3.1標準的評分原則,評分標準可參考
(https://www.first.org/cvss/calculator/3.1)
漏洞詳情:
獲取PC普通許可權前提下,在本地執行惡意程式,利用EasyConnect客戶端檢查合法簽名與拉起程式的時間差,透過條件競爭嘗試將有合法簽名的正常程式替換為惡意程式,從而進行本地提權。
補丁獲取途徑:
可撥打深信服售後服務熱線400-630-6430獲取或聯絡當地服務人員。
漏洞來源:
該漏洞由國家資訊安全漏洞共享平臺(CNVD)收錄。CNVD漏洞公告地址:
https://www.cnvd.org.cn/flaw
宣告:
本頁面所稱的任何軟體/補丁均為深信服和/或其供應商的版權作品,除用於產品修復目的外,您不得將軟體/補丁進一步複製、修改、分發、公佈、許可、轉讓、銷售或透過反編譯等方式嘗試提取其原始碼。
本檔案不承諾任何明示、默示和法定的擔保,包括但不限於對適銷性、適用性及不侵權的擔保。在任何情況下,深信服科技股份有限公司或其直接或間接控制的子公司對任何損失,包括直接、間接、偶然、必然的商業利潤損失或特殊損失均不承擔責任。您以任何方式使用本檔案所產生的一切法律責任由您自行承擔。深信服可以隨時對本檔案的內容和資訊進行修改或更新。
更新記錄
2025-2-25 V1.0 首次釋出
官方站點:www.linuxprobe.com
Linux命令大全:www.linuxcool.com
劉遄老師QQ:5604215
Linux技術交流群:2636170
(新群,火熱加群中……)
想要學習Linux系統的讀者可以點選"閱讀原文"按鈕來了解書籍《Linux就該這麼學》,同時也非常適合專業的運維人員閱讀,成為輔助您工作的高價值工具書!
