多個 Moxa 產(chǎn)品存在 CVE-2024-6387 OpenSSH 漏洞���。CVE-2024-6387 是 OpenSSH 存在的一個未授權(quán)遠程代碼執(zhí)行漏洞�����,與 OpenSSH 服務(wù)器 (sshd) 中的競爭條件有關(guān)�。如果客戶端未能在 LoginGraceTime(默認為 120 秒,舊版 OpenSSH 中為 600 秒)內(nèi)完成認證����,即會出現(xiàn)問題。sshd 的 SIGALRM 信號處理程序會被異步調(diào)用�����。但是�����,此信號處理程序調(diào)用了幾個在異步信號上下文中使用不安全的函數(shù)�����,例如 syslog()��。
確定的漏洞類型和潛在影響如下所示:
| 序號 |
漏洞類型 |
影響 |
| 1 |
信號處理程序競爭條件 (CWE-364)
CVE-2024-6387
|
未經(jīng)驗證的攻擊者可利用此漏洞在目標系統(tǒng)中以 root 身份執(zhí)行任意代碼���。 |
漏洞評分信息
|
ID
|
CVSS
|
漏洞載體
|
是否無需身份驗證即可遠程利用漏洞
|
| CVE-2024-6387 |
8.8
|
AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
|
是 |