Amazon Linux 2：sox (ALAS-2023-2231)

critical Nessus 插件 ID 181164

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 sox 版本低于 14.4.1-7。因此，它受到 ALAS2-2023-2231 公告中提及的多个漏洞影响。

- 在 sox 14.4.1 中发现一个缺陷。libsox 中的 lsx_adpcm_init 函数导致全局缓冲区溢出。利用此缺陷，攻击者可以输入恶意文件，导致敏感信息泄露。(CVE-2021-3643)

- 在 SoX 14.4.2 中，libsox.a 中 aiff.c 的 lsx_aiffstartwrite 存在浮点异常。
(CVE-2022-31650)

- 在 SoX 14.4.2中，libsox.a 中 rate.c 的 rate_init 存在断言失败。(CVE-2022-31651)

- 在 sox 中发现浮点异常漏洞，此漏洞位于 sox/src/aiff.c: 622: 58 中的 lsx_aiffstartwrite 函数。此缺陷可导致拒绝服务。(CVE-2023-26590)

- 在 sox 中发现浮点异常漏洞，此漏洞位于 sox/src/voc.c: 334: 18 中的 read_samples 函数。此缺陷可导致拒绝服务。(CVE-2023-32627)

- 在 sox 中发现堆缓冲区溢出漏洞，此漏洞位于 sox/src/hcom.c: 160: 41 中的 startread 函数。
此缺陷可造成拒绝服务、代码执行或信息泄露。(CVE-2023-34318)

- 在 sox 中发现堆缓冲区溢出漏洞，此漏洞位于 sox/src/formats_i.c: 98: 16 中的 lsx_readbuf 函数。此缺陷可造成拒绝服务、代码执行或信息泄露。(CVE-2023-34432)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。