阿里云漏洞库

漏洞描述

Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。

NTFS-3G 中存在安全漏洞，该漏洞源于精心制作的 NTFS 映像可能会导致在 NTFS-3G ＜ 2021.8.22 中的 ntfs_runlists_merge_i 中发生越界读取。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://ubuntu.com/security/notices/USN-5060-1

参考链接
https://github.com/tuxera/ntfs-3g/releases
https://github.com/tuxera/ntfs-3g/security/advisories/GHSA-q759-8j5v-q5jp
https://lists.debian.org/debian-lts-announce/2021/11/msg00013.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://security.gentoo.org/glsa/202301-01
https://www.debian.org/security/2021/dsa-4971

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	tuxera	ntfs-3g	*		Up to (excluding) 2021.8.22
	运行在以下环境
	系统	debian_10	ntfs-3g	*		Up to (excluding) 2017.3.23AR.3-3+deb10u1
	运行在以下环境
	系统	debian_11	ntfs-3g	*		Up to (excluding) 2017.3.23AR.3-4+deb11u1
	运行在以下环境
	系统	debian_12	ntfs-3g	*		Up to (excluding) 2021.8.22-2
	运行在以下环境
	系统	fedora_33	ntfs-3g	*		Up to (excluding) 2021.8.22-2.fc33
	运行在以下环境
	系统	fedora_35	ntfs-3g	*		Up to (excluding) 2021.8.22-2.fc35
	运行在以下环境
	系统	fedora_EPEL_7	ntfs-3g	*		Up to (excluding) 2021.8.22-2.el7
	运行在以下环境
	系统	fedora_EPEL_8	ntfs-3g	*		Up to (excluding) 2021.8.22-2.el8
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	ntfs-3g	*		Up to (excluding) 2022.5.17-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	ntfs-3g	*		Up to (excluding) 2022.5.17-1.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	ntfs-3g	*		Up to (excluding) 2022.5.17-1.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	ntfs-3g	*		Up to (excluding) 2022.5.17-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	ntfs-3g	*		Up to (excluding) 2022.5.17-1.ky10
	运行在以下环境
	系统	opensuse_Leap_15.2	ntfs-3g	*		Up to (excluding) 2021.8.22-lp152.5.3.1
	运行在以下环境
	系统	opensuse_Leap_15.3	ntfs-3g	*		Up to (excluding) 2021.8.22-3.8.1
	运行在以下环境
	系统	ubuntu_18.04	ntfs-3g	*		Up to (excluding) 2017.3.23-2ubuntu0.18.04.3
	运行在以下环境
	系统	ubuntu_20.04	ntfs-3g	*		Up to (excluding) 2017.3.23AR.3-3ubuntu1.1
	运行在以下环境
	系统	ubuntu_21.04	ntfs-3g	*		Up to (excluding) 2017.3.23AR.3-3ubuntu4.1
	运行在以下环境
	系统	ubuntu_21.10	ntfs-3g	*		Up to (excluding) 2017.3.23AR.3-3ubuntu5
	运行在以下环境
	系统	ubuntu_22.04	ntfs-3g	*		Up to (excluding) 2017.3.23AR.3-3ubuntu5

攻击路径

本地
攻击复杂度

困难
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-125	跨界内存读

中危 Tuxera NTFS-3G 缓冲区错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况