一、基本情况
Libcue(Cue sheet parser library)是一个用于解析CUE文件(Cuesheet,光盘映/镜像辅助文件)的开源库,它集成到Tracker Miners文件元数据索引器中,默认情况下该索引器包含在GNOME中。
GNOME是一种在各种Linux发行版(例如Debian、Ubuntu、Fedora、Red Hat Enterprise和SUSE Linux Enterprise)中广泛使用的桌面环境。
二、 漏洞描述
libcue库中存在内存损坏漏洞(CVE-2023-43641),其CVSSv3评分为8.8,目前该漏洞的细节及PoC已公开。
Libcue 2.2.1及之前版本中存在内存损坏漏洞,可通过诱导GNOME桌面环境的用户下载恶意制作的.cue文件来利用该漏洞,由于该文件保存到“~/Downloads”,因此tracker-miners会自动扫描该文件,且由于该文件的扩展名为.cue,tracker-miners会使用libcue解析该文件,可能导致利用libcue中的漏洞触发越界数组访问,从而导致进程崩溃或代码执行。
三、 影响范围
Libcue版本<=2.2.1
注:该漏洞可能会影响运行GNOME桌面环境的某些Linux发行版,包括Debian、Fedora和Ubuntu等,已知影响Ubuntu 23.04和Fedora 38。
四、 修复建议
受影响的GNOME桌面环境用户可升级到以下版本,并注意防范下载可疑文件(如包含.cue扩展名的可疑文件)。
Libcue版本> 2.2.1
