Multiple Security Issues in Screen
a year ago
- #Screen
- #CVE
- #security
- Screen 4.9.1和5.0.0版本存在多个安全漏洞,包括本地提权漏洞(CVE-2025-23395)
- Screen 5.0.0默认将PTY模式更改为0622,导致PTY全局可写(CVE-2025-46803)
- 多用户会话连接时存在TTY劫持漏洞(CVE-2025-46802)
- setuid-root上下文环境下通过套接字查找错误消息导致信息泄露(CVE-2025-46804)
- 信号发送机制中的竞争条件问题(CVE-2025-46805)
- Screen 5.0.0中因strncpy()使用不当导致的缓冲区溢出
- 通用建议包括避免以setuid-root权限安装,并默认实施权限降级
- 与Screen上游的协调披露过程存在问题,导致补丁开发和分发延迟
- 受影响发行版包括Arch Linux、Fedora 42、NetBSD 10.1等,影响程度各异