今天在运维阿里云服务器的时候,在阿里云安全中心管理控制台发现有一项漏洞风险提示为:RHSA-2018:3665-重要: NetworkManager 安全更新。在详细信息描述中可以看到漏洞涉及到:systemd:在systemd-networkingd dhcpv6选项处理中存在缺陷导致堆越界写入。

点开该漏洞风险详情信息后,可以查看到漏洞详情信息以及受影响的ECS服务器实例信息,如下图:

可以从漏洞详情中查看到如下具体信息:

漏洞编号

影响分  

漏洞公告

CVE-2018-15688

8.8

systemd:在systemd-networkingd dhcpv6选项处理中存在缺陷导致堆越界写入

从漏洞详细页面可知:该漏洞为发现系统网络在构造dhcpv 6数据包时不能正确地跟踪缓冲区大小。此漏洞可能导致整数下溢,可用于产生基于堆的缓冲区溢出。与受害者所在的网络段相同的恶意主机可能会将自己宣传为dhcpv 6服务器,并利用此漏洞导致拒绝服务或可能在受害者的计算机上获得代码执行。 

在第一图的阿里云漏洞详情下面有列举出受到影响的阿里云ECS服务器实例信息,在实例列表中可通过阿里云官方提供的修复功能进行修复。