Erlang/OTP遠端執行程式碼漏洞
發佈日期: 2025年04月23日
風險: 高度風險
類型: 伺服器 - 網站伺服器
於 Erlang/OTP 發現一個漏洞。遠端攻擊者可利用此漏洞,於目標系統觸發遠端執行任意程式碼。
注意:
CVE-2025-32433 的概念驗證碼已被公開。此漏洞允許具有網絡訪問權限的、未經身份驗證的攻擊者在運行 Erlang/OTP SSH 伺服器的主機上進行遠程代碼執行,可能導致整個系統被攻陷。因此風險等級被評為「高度風險」。
所有運行修復版本之前的 Erlang/OTP SSH 伺服器的用戶都受到此漏洞的影響。RabbitMQ 在默認情況下不需要 SSH 伺服器來運行,但任何啟用了 OTP SSH 接口並在網絡可訪問端口上運行的 RabbitMQ 實例(或類似基於 Erlang 的服務)都因為此 CVE 而存在漏洞。此外,Apache CouchDB 和之前的 Riak KV 數據庫都是利用 Erlang/OTP 實現的。如果 CouchDB 被設定為允許 Erlang remote shell,則該接口將面臨風險。即使 OTP SSH 未對外暴露,漏洞的存在意味著內部攻擊者或網絡中橫向移動的攻擊者都可能利用它來提升數據庫伺服器上的權限。
影響
- 遠端執行程式碼
受影響之系統或技術
- OTP-27.3.2 或以前的版本
- OTP-26.2.5.10 或以前的版本
- OTP-25.3.2.19 或以前的版本
解決方案
在安裝軟體之前,請先瀏覽供應商之網站,以獲得更多詳細資料。
安裝供應商提供的修補程式:
- OTP-27.3.3
- OTP-26.2.5.11
- OTP-25.3.2.20
沒有留言:
發佈留言