摘要:
libgsf security update
安全等级: High
公告ID: KylinSec-SA-2024-4090
发布日期: 2024年10月12日
关联CVE: CVE-2024-36474 CVE-2024-42415
libgsf 库是一个可扩展的 I/O 抽象库,用于处理结构化文件格式。
安全修复:
GNOME 项目 G 结构化文件库(libgsf)版本 v1.14.52 中的复合文档二进制文件格式解析器存在一个整数溢出漏洞。一个特别制作的文件在处理文件中的目录时可能导致整数溢出,从而在读写数组时使用越界索引。这可能导致任意代码执行。攻击者可以提供恶意文件来触发此漏洞。(CVE-2024-36474)
GNOME 项目 G 结构化文件库(libgsf)版本 v1.14.52 中的复合文档二进制文件格式解析器还存在另一个整数溢出漏洞。一个特别制作的文件在处理扇区分配表时可能导致整数溢出,从而引发基于堆的缓冲区溢出。这同样可能导致任意代码执行。攻击者可以提供恶意文件来触发此漏洞。(CVE-2024-42415)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-36474 | KY3.5.2 | libgsf | Fixed |
| CVE-2024-36474 | V6 | libgsf | Fixed |
| CVE-2024-42415 | KY3.5.2 | libgsf | Fixed |
| CVE-2024-42415 | V6 | libgsf | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| libgsf-help | noarch | 1.14.50-2.ks6 |
| libgsf | x86_64 | 1.14.50-2.ks6 |
| libgsf-devel | x86_64 | 1.14.50-2.ks6 |
| libgsf | aarch64 | 1.14.50-2.ks6 |
| libgsf-devel | aarch64 | 1.14.50-2.ks6 |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| libgsf | x86_64 | 1.14.47-2.ky3_5 |
| libgsf-devel | x86_64 | 1.14.47-2.ky3_5 |
| libgsf-help | x86_64 | 1.14.47-2.ky3_5 |
| libgsf | aarch64 | 1.14.47-2.ky3_5 |
| libgsf-devel | aarch64 | 1.14.47-2.ky3_5 |
| libgsf-help | aarch64 | 1.14.47-2.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
