util-linux 2.40 发布,修复有 11 年历史的 wall 命令漏洞

3 月 29 日消息,util-linux 软件包近日发布了 2.40 版本更新,修复了存在于 wall 命令中,持续了 11 年的漏洞。

util-linux 2.40 发布,修复有 11 年历史的 wall 命令漏洞

util-linux 2.40 发布,修复有 11 年历史的 wall 命令漏洞© 由 IT之家 提供

该安全问题被命名为 WallEscape,追踪编号为 CVE-2024-28085,攻击者可利用该漏洞窃取密码或更改受害者的剪贴板。

WallEscape 会影响“wall”命令,该命令在 Linux 系统中通常用于向登录到同一系统(如服务器)的所有用户的终端广播消息。

由于在处理通过命令行参数输入时,转义序列会被不适当地过滤,因此无权限用户可利用该漏洞,使用转义控制字符在其他用户的终端上创建虚假的 SUDO 提示,并诱骗他们键入管理员密码。

继续阅读“util-linux 2.40 发布,修复有 11 年历史的 wall 命令漏洞”