回复冲浪靓仔:修复有 11 年历史的 wall 命令漏洞!这漏洞真难修复
冲浪靓仔
下载贤集网APP入驻自媒体
3 月 29 日消息,util-linux 软件包近日发布了 2.40 版本更新,修复了存在于 wall 命令中,持续了 11 年的漏洞。 该安全问题被命名为 WallEscape,追踪编号为 CVE-2024-28085,攻击者可利用该漏洞窃取密码或更改受害者的剪贴板。 WallEscape 会影响“wall”命令,该命令在 Linux 系统中通常用于向登录到同一系统(如服务器)的所有用户的终端广播消息。 由于在处理通过命令行参数输入时,转义序列会被不适当地过滤,因此无权限用户可利用该漏洞,使用转义控制字符在其他用户的终端上创建虚假的 SUDO 提示,并诱骗他们键入管理员密码。
