关键信息 CVE编号: CVE-2025-60019 严重性: 低 (CVSS v3.0 分数: 3.7) 描述: - glibc的OpenSSL后端未能正确检查内存分配例程的返回值。内存耗尽可能导致写入无效内存位置。 - OpenSSL后端默认包含在任何Red Hat产品中,因此没有组件受到影响。 受影响的包和发布的Red Hat安全公告: - Red Hat Enterprise Linux 8: glibc networking - 不受影响 - Red Hat Enterprise Linux 6: glibc networking - 不受影响 - Red Hat Enterprise Linux 7: glibc networking - 不受影响 - Red Hat Enterprise Linux 5: glibc networking - 不受影响 - Red Hat Enterprise Linux 4: glibc networking - 不受影响 弱点理解 (CWE): - CWE-476: 可用性 - 技术影响: 崩溃、退出或重启。NULL指针解引用通常导致进程失败,除非有异常处理(在某些平台上可用)实现。这可能允许攻击者(通过发送空数据)使软件进入不安全状态或操作。 - 完整性/机密性 - 技术影响: 导致未授权代码或命令执行;泄露内存附近的数据。在某些情况下,当NULL是有效的GID时,内存错误和释放后的使用可以被利用,从而导致读取内存成为可能,这可能用于进一步的攻击。 常见漏洞评分系统 (CVSS) 评分详情: - 攻击向量: 网络 - 攻击复杂度: 高 - 特权要求: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 低