关键信息 漏洞描述 名称: CVE-2024-10041 公开日期: 2024年10月18日 最近更新: 2024年10月23日 严重性: 中等 描述: PAM(Pluggable Authentication Modules)中发现了一个漏洞。秘密信息存储在内存中,攻击者可以通过向标准输入(stdin)发送字符来触发目标程序执行。这可能导致被训练的分支预测器执行ROP(Return-Oriented Programming)链,从而导致密码泄露,如/etc/shadow文件中的密码。 补救措施 受影响的系统: Red Hat Enterprise Linux 8 和 9 补救措施: 如果SELinux处于强制模式,PAM包在Red Hat Enterprise Linux 8和9中不受此漏洞影响。 CVSS评分 CVSS v3 Base Score: 4.7 攻击向量: 本地 攻击复杂性: 高 权限要求: 低 用户交互: 无 影响: 机密性高,完整性无,可用性无 常见问题 为什么Red Hat的CVSS v3评分与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复? 如果我的产品被列为“不会修复”,我该怎么办? 如果我的产品被列为“修复推迟”,我该怎么办? 什么是补救措施? 我有Red Hat产品,但它不在上述列表中,它是否受影响? 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 我的产品被列为“超出支持范围”。这意味着什么? 外部参考 CVE-2024-10041 NVD 最后更新 日期: 2024年10月23日 时间: 13:36:49 UTC 版权 版权: 2021