radareorg/radare2 堆缓冲区溢出漏洞(CVE-2022-1383)

简介: radareorg/radare2 堆缓冲区溢出漏洞(CVE-2022-1383)
编号 CVE-2022-1383
标题 radareorg/radare2 堆缓冲区溢出漏洞
描述 Radare2(简称为r2 )是用于逆向和分析二进制文件的完整框架。 GitHub 存储库中 5.6.8版本之前的radareorg/radare2存在基于堆的缓冲区溢出,该错误导致程序读取超出预期缓冲区末尾的数据。攻击者可利用此漏洞从其他内存位置读取敏感信息或导致崩溃。
发布时间 2022/04/17
漏洞级别 中危
影响组件 radare2<5.6.8    
影响范围 极小

CVE-2022-1383 漏洞影响了 5.6.8 版本之前的radare2,导致其产生堆缓冲区溢出问题,该问题会导致rare2产生崩溃现象,攻击者可以利用此漏洞读取敏感信息。


rare2是rare的完全重写版本,其主要功能是简化逆向工程任务,其受众群体专业性较强,所以影响范围不是很广。官方已发布补丁,建议使用者及时更新补丁,以避免此漏洞造成的危害。


参考链接: https://github.com/radareorg/radare2/commit/1dd65336f0f0c351d6ea853efcf73cf9c0030862


使用墨菲安全的开源工具帮您快速检测代码安全


开源地址:https://github.com/murphysecurity/


产品官网:https://murphysec.com


一、墨菲安全开源CLI工具


使用CLI工具,在命令行检测指定目录代码的开源组件依赖安全问题


工具地址:https://github.com/murphysecurity/murphysec


具体使用方式可参考项目 README 或 官方文档

1.png


二、墨菲安全 IDE 插件


在IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。


使用方式:


1、IDE插件中搜索“murphysec”即可安装

2、选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件

3、点击“一键修复”,即可对检测出来的漏洞进行一键修复

image.png


三、GitLab全量代码检测


使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测


工具地址:https://github.com/murphysecurity/murphysec-gitlab-scanner


具体使用方式可参考项目 README


以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。

1.png


关于墨菲安全


墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署,目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户,公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。


关于墨菲安全实验室


墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。

相关文章
|
3月前
|
SQL 安全 Unix
缓冲区溢出攻击
【8月更文挑战第17天】
75 2
|
17天前
|
存储 监控 安全
缓冲区溢出
【10月更文挑战第20天】缓冲区溢出是一种需要引起高度重视的计算机安全问题。开发人员在编程过程中应遵循安全的编程规范,采取有效的防范措施,以避免缓冲区溢出漏洞的出现,从而提高程序的稳定性和安全性。同时,系统管理员和安全防护人员也应加强对系统的监控和防护,及时发现并处理可能存在的缓冲区溢出攻击,保障系统的安全运行。
|
5月前
|
监控 安全 测试技术
CVE-2022-37434漏洞如何处理
【6月更文挑战第18天】CVE-2022-37434漏洞如何处理
567 0
|
6月前
|
安全 编译器 Shell
什么是缓冲区溢出? 缓冲区溢出攻击的类型?攻击者如何利用缓冲区溢出?如何防止缓冲区溢出攻击?
什么是缓冲区溢出? 缓冲区溢出攻击的类型?攻击者如何利用缓冲区溢出?如何防止缓冲区溢出攻击?
149 0
|
6月前
|
存储 安全 程序员
小议缓冲区溢出
小议缓冲区溢出
58 0
|
供应链 安全 IDE
Mercurius <11.5.0 存在拒绝服务漏洞(CVE-2023-22477)
Mercurius <11.5.0 存在拒绝服务漏洞(CVE-2023-22477)
Mercurius <11.5.0 存在拒绝服务漏洞(CVE-2023-22477)
|
SQL 安全 前端开发
常见漏洞总结
常见漏洞总结
|
编解码 安全 NoSQL
SSRE漏洞
服务器端请求伪造:是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
SSRE漏洞
|
网络协议 Windows
什么是缓冲区溢出
什么是缓冲区溢出
454 0
|
移动开发 缓存 监控
理解缓冲区溢出漏洞的利用
在我第一次不得不处理缓冲区溢出漏洞时,我真是一窍不通啊!虽然我可以建立网络和配置防火墙、代理服务器,不费吹灰之力的入侵检测系统,但是对于利用代码来说,我还是第一次接触到。然而,正如处理任何复杂或是困难的概念一样,最好的办法就是把它分解成我们了解的多个部分。
373 0