中危 xterm up to Patch #365 UTF-8 Character memory corruption

CVE编号

CVE-2021-27135

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-02-11
漏洞描述
XTerm是一个X Window System上的终端模拟器,用来提供多个独立的SHELL输入输出。

Xterm中存在输入验证错误漏洞,该漏洞源于允许远程攻击者通过特制的UTF-8字符序列造成拒绝服务(分段错误)或可能具有未指明的其他影响。目前没有详细的漏洞细节提供。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.debian.org/lts/security/2021/dla-2558
参考链接
http://seclists.org/fulldisclosure/2021/May/52
http://www.openwall.com/lists/oss-security/2021/02/10/7
https://access.redhat.com/security/cve/CVE-2021-27135
https://bugzilla.redhat.com/show_bug.cgi?id=1927559
https://bugzilla.suse.com/show_bug.cgi?id=1182091
https://github.com/ThomasDickey/xterm-snapshots/commit/82ba55b8f994ab30ff561a...
https://invisible-island.net/xterm/xterm.log.html
https://lists.debian.org/debian-lts-announce/2021/02/msg00019.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://news.ycombinator.com/item?id=26524650
https://security.gentoo.org/glsa/202208-22
https://www.openwall.com/lists/oss-security/2021/02/09/7
https://www.openwall.com/lists/oss-security/2021/02/09/9
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 invisible-island xterm * Up to
(including)
365
运行在以下环境
系统 alibaba_cloud_linux_2.1903 xterm * Up to
(excluding)
295-3.1.al7.1
运行在以下环境
系统 alibaba_cloud_linux_3 xterm * Up to
(excluding)
331-1.1.al8.2
运行在以下环境
系统 alma_linux_8 xterm * Up to
(excluding)
331-1.el8_3.2
运行在以下环境
系统 alpine_3.13 xterm * Up to
(excluding)
367-r0
运行在以下环境
系统 alpine_3.14 xterm * Up to
(excluding)
366-r0
运行在以下环境
系统 alpine_3.15 xterm * Up to
(excluding)
366-r0
运行在以下环境
系统 alpine_3.16 xterm * Up to
(excluding)
366-r0
运行在以下环境
系统 alpine_3.17 xterm * Up to
(excluding)
366-r0
运行在以下环境
系统 alpine_3.18 xterm * Up to
(excluding)
366-r0
运行在以下环境
系统 alpine_3.19 xterm * Up to
(excluding)
366-r0
运行在以下环境
系统 amazon_2 xterm * Up to
(excluding)
295-3.amzn2.1
运行在以下环境
系统 amazon_AMI xterm * Up to
(excluding)
3.15.amzn1
运行在以下环境
系统 centos_7 xterm * Up to
(excluding)
295-3.el7_9.1
运行在以下环境
系统 debian_10 xterm * Up to
(excluding)
344-1+deb10u1
运行在以下环境
系统 debian_11 xterm * Up to
(excluding)
366-1
运行在以下环境
系统 debian_12 xterm * Up to
(excluding)
366-1
运行在以下环境
系统 debian_9 xterm * Up to
(excluding)
327-2+deb9u1
运行在以下环境
系统 fedora_33 xterm * Up to
(excluding)
366-1.fc33
运行在以下环境
系统 kylinos_aarch64_V10 xterm * Up to
(excluding)
295-3.el7_9.1
运行在以下环境
系统 kylinos_x86_64_V10 xterm * Up to
(excluding)
295-3.el7_9.1
运行在以下环境
系统 opensuse_Leap_15.2 xterm * Up to
(excluding)
330-lp152.6.3.1
运行在以下环境
系统 opensuse_Leap_15.3 xterm * Up to
(excluding)
330-11.3.1
运行在以下环境
系统 oracle_6 xterm * Up to
(excluding)
253-1.0.1.el6
运行在以下环境
系统 oracle_7 xterm * Up to
(excluding)
295-3.el7_9.1
运行在以下环境
系统 oracle_8 xterm * Up to
(excluding)
331-1.el8_3.2
运行在以下环境
系统 redhat_7 xterm * Up to
(excluding)
295-3.el7_9.1
运行在以下环境
系统 redhat_8 xterm * Up to
(excluding)
331-1.el8_3.2
运行在以下环境
系统 rocky_linux_8 xterm * Up to
(excluding)
331-1.el8_3.2
运行在以下环境
系统 suse_12_SP5 xterm * Up to
(excluding)
308-5.3.1
运行在以下环境
系统 ubuntu_16.04 xterm * Up to
(excluding)
322-1ubuntu1.2
运行在以下环境
系统 ubuntu_18.04 xterm * Up to
(excluding)
330-1ubuntu2.2
运行在以下环境
系统 ubuntu_20.04 xterm * Up to
(excluding)
353-1ubuntu1.20.04.2
阿里云评分
6.8
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    N/A
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    DoS
  • 全网数量
    N/A
CWE-ID 漏洞类型
NVD-CWE-noinfo
阿里云安全产品覆盖情况