根据用户提供的网页截图,我提取了以下关于漏洞的关键信息: 1. 漏洞标识与标题: Bug ID: 2440357 CVE ID: CVE-2026-2625 标题: CVE-2026-2625: rust-rpm-sequoia: Denial of Service via crafted RPM file during signature verification (通过精心制作的RPM文件在签名验证期间导致拒绝服务)。 2. 漏洞概述 (Description): 在 库进行 RPM 签名验证时,精心制作的 RPM 文件可以触发 签名解析器中的堆栈溢出(stack buffer overflow)。 这会导致 进程意外中止(unconditional abort),从而造成拒绝服务(DoS)。 该问题可以通过标准的 RPM CLI 操作(如 和 )重现,且无需安装该包。 攻击者只需向受害系统提供精心制作的 RPM 文件,当该文件被处理进行签名验证时(例如在 、 、CI 流水线或自动包验证工作流中),即可触发漏洞。 不需要特权、用户交互或包安装。 3. 影响范围 (Impact/Component): 组件: (属于 )。 版本: 未指定 (unspecified)。 硬件: x86_64 (A4)。 操作系统: Linux。 优先级/严重性: 中等 (medium)。 4. 修复方案 (Fix): 页面中未明确列出具体的修复补丁或版本更新信息(Status 为 NEW,Last Closed 为 Empty)。通常这意味着这是一个新报告的漏洞,尚未发布官方修复补丁。 5. POC/利用代码: 页面文本描述中提到了攻击方式(提供精心制作的 RPM 文件),但没有提供具体的 POC 代码块或二进制文件下载链接。 总结生成: 漏洞概述: 库中的 在解析 签名时存在堆栈溢出漏洞。攻击者可通过提供恶意构造的 RPM 文件,在签名验证阶段(如运行 或 )触发 进程崩溃,导致拒绝服务(DoS)。无需安装包或拥有特权即可触发。 影响范围:涉及 组件,运行在 Linux x86_64 系统上。 修复方案:当前状态为 NEW,页面未显示具体的修复补丁或版本。 POC代码:页面未包含具体的代码块。 漏洞关键信息总结 漏洞概述 漏洞编号: CVE-2026-2625 (Bug ID: 2440357) 漏洞类型: 拒绝服务 (Denial of Service) / 堆栈溢出 (Stack Buffer Overflow) 详细描述: 在 库进行 RPM 签名验证时,精心制作的 RPM 文件可以触发 签名解析器中的堆栈溢出。这会导致 进程无条件中止(abort),从而造成拒绝服务。 触发条件: 攻击者只需向受害系统提供恶意构造的 RPM 文件。当该文件被处理进行签名验证时(例如在 、 、CI 流水线或自动包验证工作流中),即可触发漏洞。无需特权、用户交互或包安装。 影响范围 受影响组件: (Product: Security Response) 操作系统: Linux 硬件架构: x86_64 (A4) 严重性: 中等 (medium) 修复方案 当前状态为 NEW,页面中未显示具体的修复补丁或已修复版本。 POC/利用代码 页面中未包含具体的 POC 代码块。仅描述了利用方式(提供精心制作的 RPM 文件)。