云安全日报210308：Debian通用即插即用设备发现拒

Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机，台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Deepin、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来，它的稳定性和可靠性就深受用户喜爱。

3月8日,Debian发布了安全更新,修复了UPnP(通用即插即用设备)SDK中发现的拒绝服务漏洞。以下是漏洞详情

漏洞详情

来源https://.debian./lts/security/2021/dla-2585

CVE-2020-13848 严重程度: 重要

该漏洞存在于UPnP设备的便携式SDK中，也叫做 libupnp。这个库是用来实现媒体播放（DLAN）或者NAT地址转换（UPnP IGD）。智能手机上的应用程序可用这些功能播放媒体文件或者利用用户的家庭网络连接到其他的设备。

由于在genlib / service_table / service_table.c中的功能FindServiceControlURLPath和FindServiceEventURLPath中取消了NULL指针的引用，远程攻击者可以通过精心制作的SSDP消息导致拒绝服务（崩溃）。

受影响产品及版本

上述漏洞影响Debian 9 libupnp 1.6.19 + git20160116-1.2 + deb9u1之前版本

解决方案

对于Debian 9 Stretch，此问题已在版本11.6.19 + git20160116-1.2 + deb9u1中得到解决,建议及时更新libupnp包

查看更多漏洞信息 以及升级请访问官网

https://.debian./lts/security/