阿里云漏洞库

低危 aria2 安全漏洞

CVE编号

CVE-2019-3500

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-01-02

漏洞描述

aria2是一款跨平台的轻量级文件下载实用程序。该程序支持HTTP/HTTPS、FTP、SFTP、BitTorrent和Metalink等协议。

aria2 1.33.1版本中的aria2c存在安全漏洞，该漏洞源于程序将HTTP Basic Authentication用户名和密码存储在文件中。本地攻击者可通过读取文件利用该漏洞获取敏感信息。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/aria2/aria2/issues/1329
https://lists.debian.org/debian-lts-announce/2019/01/msg00012.html
https://lists.debian.org/debian-lts-announce/2021/12/msg00039.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://usn.ubuntu.com/3965-1/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	aria2_project	aria2	1.33.1	-
	运行在以下环境
	系统	alpine_3.7	aria2	*		Up to (excluding) 1.33.1-r1
	运行在以下环境
	系统	debian_10	aria2	*		Up to (excluding) 1.34.0-4
	运行在以下环境
	系统	debian_11	aria2	*		Up to (excluding) 1.34.0-4
	运行在以下环境
	系统	debian_12	aria2	*		Up to (excluding) 1.34.0-4
	运行在以下环境
	系统	debian_sid	aria2	*		Up to (excluding) 1.34.0-4
	运行在以下环境
	系统	fedora_28	aria2-debugsource	*		Up to (excluding) 1.34.0-4.fc28
	运行在以下环境
	系统	fedora_29	aria2-debugsource	*		Up to (excluding) 1.34.0-4.fc29
	运行在以下环境
	系统	fedora_30	aria2-debugsource	*		Up to (excluding) 1.34.0-4.fc30
	运行在以下环境
	系统	fedora_EPEL_7	aria2	*		Up to (excluding) 1.34.0-4.el7
	运行在以下环境
	系统	opensuse_Leap_15.0	aria2	*		Up to (excluding) 1.33.1-bp150.3.7.1
	运行在以下环境
	系统	opensuse_Leap_15.2	aria2	*		Up to (excluding) 1.35.0-bp153.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.3	aria2	*		Up to (excluding) 1.35.0-bp153.2.3.1
	运行在以下环境
	系统	opensuse_Leap_42.3	aria2-devel	*		Up to (excluding) 1.33.1-lp150.5.1
	运行在以下环境
	系统	ubuntu_18.10	aria2	*		Up to (excluding) 1.34.0-2ubuntu0.1

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-532	通过日志文件的信息暴露