漏洞风险提示（20241125)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Ubuntu needrestart权限提升漏洞（CVE-2024-48990）
一、漏洞描述：     
       
        needrestart 是Ubuntu 和其他基于 Debian 的 Linux 发行版中常用的一个工具，主要用于检测系统中是否有需要重启的服务或内核模块。它在软件包更新后运行，帮助管理员识别哪些服务或进程需要重新启动以使更新生效。Needrestart 使用从正在运行的进程中提取的 PYTHONPATH 环境变量执行 Python 解释器，如果本地攻击者控制该变量，可以通过植入恶意共享库在 Python 初始化期间以 root 身份执行任意代码。
二、风险等级：
        高危
三、影响范围：
        0.8 <= needrestart < 3.8
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://ubuntu.com/

---

2 LibreNMS 跨站脚本漏洞（CVE-2024-49754）
一、漏洞描述：     
       
        LibreNMS是LibreNMS社区的一套基于PHP和MySQL的开源网络监控系统。该系统具有自定义警报、自动发现网络环境和自动更新等特点。LibreNMS存在跨站脚本漏洞，该漏洞源于API-Access页面中的存储型跨站脚本漏洞。
二、风险等级：
        高危
三、影响范围：
        LibreNMS
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/librenms/libr ... GHSA-gfwr-xqmj-j27v

---

3 Clementine 代码执行漏洞（CVE-2024-50986）
一、漏洞描述：     
       
        Clementine是Clementine开源的一个多平台音乐播放器。Clementine v1.3.1版本存在安全漏洞，该漏洞源于允许本地攻击者通过精心设计的DLL文件执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Clementine v1.3.1   
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/clementine-pl ... /releases/tag/1.4.1

---

4 OpenAirInterface CN5G AMF 缓冲区溢出漏洞（CVE-2024-24450）
一、漏洞描述：     
       
        OpenAirInterface CN5G AMF是OpenAirInterface开源的一款应用程序。OpenAirInterface CN5G AMF v2.0.0及之前版本存在安全漏洞，该漏洞源于存在基于堆栈的缓冲区溢出，允许远程攻击者通过发送带有足够大的PDU会话资源设置响应来执行代码。
二、风险等级：
        高危
三、影响范围：
        OpenAirInterface CN5G AMF < v2.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gitlab.eurecom.fr/oai/cn5g/oai-cn5g-amf/-/tags/v2.1.0