CVE-2024-52337丨调整：对 `instance_create()` 方法的 `instance_name` 参数进行不当清理

2024年11月27日 30点热度 0人点赞 0条评论

调整：对 `instance_create()` 方法的 `instance_name` 参数进行不当清理 (CVE-2024-52337)

CVE编号

CVE-2024-52337

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-27

漏洞描述

在Tuned软件包中发现了一个日志欺骗漏洞，原因是某些API参数未进行适当的清理。这一漏洞使得攻击者可以传入一个受控的字符序列，可以在日志中插入换行符。攻击者可以模仿一个有效的TuneD日志行来欺骗管理员，而不是使用“恶意的”手段。引号（''）通常在TuneD日志中用于引用原始用户输入，因此伪造输入总是以单引号结尾，管理员很容易忽略这一点。此后，记录的字符串将用于日志记录和工具输出，例如使用`tuned-adm get_instances`或其他使用Tuned的D-Bus接口进行此类操作的第三方程序。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://access.redhat.com/errata/RHSA-2024:10381
https://access.redhat.com/errata/RHSA-2024:10384
https://access.redhat.com/security/cve/CVE-2024-52337
https://bugzilla.redhat.com/show_bug.cgi?id=2324541

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	fedora_39	tuned	*		Up to (excluding) 2.24.1-1.fc39
	运行在以下环境
	系统	fedora_40	tuned	*		Up to (excluding) 2.24.1-1.fc40
	运行在以下环境
	系统	fedora_41	tuned	*		Up to (excluding) 2.24.1-1.fc41

CVE-2024-52337丨调整：对 `instance_create()` 方法的 `instance_name` 参数进行不当清理

调整：对 `instance_create()` 方法的 `instance_name` 参数进行不当清理 (CVE-2024-52337)

漏洞描述

解决建议

参考链接

受影响软件情况

文章评论