util-linux 2.40 发布，修复有 11 年历史的 wall 命令漏洞

图片地址：https://img.ithome.com/newsuploadfiles/2024/3/ab83004a-a3aa-4cbc-9851-e0f5de63956b.jpg?x-bce-process=image/format,f_auto

IT之家 3 月 29 日消息，util-linux 软件包近日发布了 2.40 版本更新，修复了存在于 wall 命令中，持续了 11 年的漏洞。该安全问题被命名为 WallEscape，追踪编号为 CVE-2024-28085，攻击者可利用该漏洞窃取密码或更改受害者的剪贴板。WallEscape 会影响“wall”命令，该命令在 Linux 系统中通常用于向登录到同一系统（如服务器）的所有用户的终端广播消息。由于在处理通过命令行参数输入时，转义序列会被不适当地过滤，因此无权限用户可利用该漏洞，使用转义控制字符在其他用户的终端上创建虚假的 SUDO 提示，并诱骗他们键入管理员密码。IT之家注：util-linuxutil-linux 项目的目的是为用户提供一套全面且功能强大的工具集，帮助他们在 Linux 系统中执行常见的任务。这些工具涵盖了各种领域，例如文件管理、磁盘管理、系统控制台实用程序和网络管理等。wall