中危 c-ares 安全漏洞

CVE编号

CVE-2022-4904

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-12-13

漏洞描述

c-ares是c-ares个人开发者的一个用于异步 DNS 请求的 C 库。 c-ares存在安全漏洞，该漏洞源于缺少对输入字符串有效性的检查，攻击者利用该漏洞可能导致任意长度的堆栈溢出，从而导致拒绝服务。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=2168631
https://github.com/c-ares/c-ares/issues/496
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	c-ares_project	c-ares	-	-
	运行在以下环境
	应用	redhat	software_collections	-	-
	运行在以下环境
	系统	amazon_2023	nodejs	*		Up to (excluding) 1.19.0-1.amzn2023
	运行在以下环境
	系统	amazon_AMI	c-ares	*		Up to (excluding) 1.17.2-1.10.amzn1
	运行在以下环境
	系统	anolis_os_8	nodejs-devel	*		Up to (excluding) 18.14.2-3
	运行在以下环境
	系统	debian_10	c-ares	*		Up to (excluding) 1.14.0-1+deb10u2
	运行在以下环境
	系统	debian_11	c-ares	*		Up to (excluding) 1.17.1-1+deb11u2
	运行在以下环境
	系统	debian_12	c-ares	*		Up to (excluding) 1.18.1-2
	运行在以下环境
	系统	debian_sid	c-ares	*		Up to (excluding) 1.18.1-2
	运行在以下环境
	系统	fedora_36	c-ares-devel	*		Up to (excluding) 1.19.0-1.fc36
	运行在以下环境
	系统	fedora_37	c-ares-devel	*		Up to (excluding) 1.19.0-1.fc37
	运行在以下环境
	系统	kylinos_aarch64_V10	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	c-ares	*		Up to (excluding) 1.16.1-4.p01.a.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP3	c-ares	*		Up to (excluding) 1.16.1-4.p01.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	c-ares	*		Up to (excluding) 1.16.1-4.p01.ky10
	运行在以下环境
	系统	opensuse_5.3	libcares2	*		Up to (excluding) 1.19.0-150000.3.20.1
	运行在以下环境
	系统	opensuse_Leap_15.4	c-ares-devel	*		Up to (excluding) 1.19.0-150000.3.20.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 18.14.2-3.module+el8.8.0+21122+857852f8
	运行在以下环境
	系统	oracle_9	oraclelinux-release	*		Up to (excluding) 2021.06-4.module+el9.1.0+20762+f52d7401
	运行在以下环境
	系统	redhat_9	nodejs-libs-debuginfo	*		Up to (excluding) 2.0.20-3.el9_2
	运行在以下环境
	系统	suse_12_SP5	libcares2	*		Up to (excluding) 1.9.1-9.15.1
	运行在以下环境
	系统	ubuntu_18.04	c-ares	*		Up to (excluding) 1.14.0-1ubuntu0.2
	运行在以下环境
	系统	ubuntu_20.04	c-ares	*		Up to (excluding) 1.15.0-1ubuntu0.2
	运行在以下环境
	系统	ubuntu_22.04	c-ares	*		Up to (excluding) 1.18.1-1ubuntu0.22.04.1
	运行在以下环境
	系统	ubuntu_22.10	c-ares	*		Up to (excluding) 1.18.1-1ubuntu0.22.10.1
	运行在以下环境
系统	unionos_a	c-ares	*		Up to (excluding) c-ares-1.13.0-7.uelc20.4
运行在以下环境
系统	unionos_d	c-ares	*		Up to (excluding) 1.14.0.2-deepin1
运行在以下环境
系统	unionos_e	c-ares	*		Up to (excluding) c-ares-1.16.1-4.uel20

阿里云评分 6.4

• 攻击路径 本地
• 攻击复杂度 容易
• 权限要求 普通权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当
CWE-1284	Improper Validation of Specified Quantity in Input
CWE-20	输入验证不恰当

Exp相关链接

- avd.aliyun.com