サイト内の現在位置

PPPにおける任意コード実行の脆弱性

掲載番号:NV20-006
脆弱性情報識別番号:JVNVU#99700555

概要

任意のコード実行が可能 - CVE-2020-8597
・入力サイズの検証不備により、バッファオーバーフローの脆弱性が存在しています。
・細工された EAP パケットを処理することで、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
・EAP の設定を無効にしている場合も本脆弱性の影響を受ける可能性があります。
・ppp 2.4.2 から 2.4.8におけるpppdのeap.cが影響を受けます。

対象製品

エッジゲートウェイ

影響の有無

影響あり

対象となる製品のバージョン

(1)20170824110000
(1)20181219082559

(2)20191220082721

対処方法

(1)の場合
pppパッケージを「2.4.6-3.1+deb8u1」にアップデートしてください。

(2)の場合
pppパッケージを「2.4.7-1+4+deb9u1」にアップデートしてください。

参考情報

更新情報

2020/05/18
エッジゲートウェイ を登録しました。