官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
SUSE近日发布针对Amazon Systems Manager(SSM)Agent的重要安全更新,解决了“go-git”库中的严重漏洞CVE-2025-21613。该漏洞可能允许攻击者在特定情况下篡改git-upload-pack标志。
go-git是一个用纯Go语言编写的高度可扩展的Git实现库。在v5.13之前的版本中,go-git被发现存在参数注入漏洞。攻击者如果成功利用该漏洞,可以为git-upload-pack标志设置任意值。此问题仅在使用文件传输协议时出现,因为该协议是唯一调用Git二进制文件的协议。
安全更新的关键细节
该漏洞源于对URL字段的不当处理,为参数注入攻击提供了可乘之机,进而危及系统完整性。受影响的Amazon SSM Agent已更新至3.3.1611.0版本,修复了此漏洞。更新后,系统能够安全地处理输入,降低了被利用的风险。
已发布软件包列表
受影响产品列表
此更新适用于以下版本的SUSE Linux Enterprise产品:
- Public Cloud Module 12
- SUSE Linux Enterprise High Performance Computing:版本12 SP2至SP5
- SUSE Linux Enterprise Server:版本12、12 SP1至SP5
- SUSE Linux Enterprise Server for SAP Applications:版本12、12 SP1至SP5
更新说明
SUSE 建议使用 YaST 或zypper patch命令应用更新。具体操作如下:
Public Cloud Module 12
zypper in -t patch SUSE-SLE-Module-Public-Cloud-12-2025-191=1
更新完成后,请确保重启所有依赖 Amazon SSM Agent 的服务或进程。
Public Cloud Module 12(aarch64, x86_64)
更新包:amazon-ssm-agent-3.3.1611.0-4.36.1
为了维护环境的安全性和稳定性,SUSE建议立即更新Amazon SSM代理。
参考链接:
https://cybersecuritynews.com/critical-injection-vulnerability-in-suse-linux-distro/
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022