更新ID(KYUA-202312-1055)
- 更新简述:
- 在com.kylin.backup系统服务中存在接口提权漏洞
- 影响操作系统版本:
- 银河麒麟高级服务器操作系统 V10 SP1
银河麒麟高级服务器操作系统 V10 SP2
银河麒麟高级服务器操作系统 V10 SP3
银河麒麟高级服务器操作系统(Host版)V10
- 更新类型:
- 问题修复
- 发布时间:
- 2024-03-14
- 更新描述:
- 修复和更新方法
需要更新yhkylin-backup-tools版本到4.0.12-1.0.9kord1.p20或以上版本。
更新方法(用root权限执行以下命令):
yum update yhkylin-backup-tools
详细介绍
一、问题复现方法/问题描述
在com.kylin.backup系统服务中存在接口,此接口普通用户可以调用,可以读取特定文件的内容,导致注入恶意的命令来实现提权的目的。
二、问题分析结果
将com.kylin.backup系统服务中存在接口实现的方法放到类中,变成类方法,从com.kylin.backup系统服务中优化com.kylin.backup.manager相应接口。
三、补丁及下载地址
从软件仓库更新
