摘要:
binutils security update
安全等级: High
公告ID: KylinSec-SA-2025-2581
发布日期: 2025年7月17日
关联CVE: CVE-2025-0840 CVE-2024-57360
Binutils 是一套二进制工具集,包含:
ar(用于创建、修改和提取归档文件)、
as(GNU汇编器系列)、
gprof(用于显示调用图性能分析数据)、
ld(GNU链接器)、
nm(用于列出目标文件中的符号)、
objcopy(用于复制和转换目标文件)、
objdump(用于显示目标文件信息)、
ranlib(为归档文件内容生成索引)、
readelf(用于显示二进制文件的详细信息)、
size(用于列出目标文件或归档文件的段大小)、
strings(用于列出文件中的可打印字符串)、
strip(用于丢弃符号)、
以及 addr2line(用于将地址转换为文件和行号)。
安全修复:
https://www.gnu.org/software/binutils/ nm >=2.43 版本存在访问控制不当漏洞。利用类型为本地攻击。受影响组件是 `nm --without-symbol-version` 功能。(CVE-2024-57360)
在 GNU Binutils 2.43 及更早版本中发现一个被归类为中等风险的漏洞。该漏洞影响 binutils/objdump.c 文件中的 disassemble_bytes 函数。对参数 buf 的操作会导致基于栈的缓冲区溢出。攻击可以远程发起,但攻击复杂度较高,利用难度较大。漏洞利用代码已公开,可能会被利用。升级至 2.44 版本可解决此问题。修复补丁标识为 baac6c221e9d69335bf41366a1c7d87d8ab2f893。建议升级受影响组件。(CVE-2025-0840)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-0840 | KY3.5.3 | binutils | Fixed |
| CVE-2024-57360 | KY3.5.3 | binutils | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| binutils | x86_64 | 2.37-30.ky3_5 |
| binutils-devel | x86_64 | 2.37-30.ky3_5 |
| binutils-help | x86_64 | 2.37-30.ky3_5 |
| binutils | aarch64 | 2.37-30.ky3_5 |
| binutils-devel | aarch64 | 2.37-30.ky3_5 |
| binutils-help | aarch64 | 2.37-30.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
