radareorg/radare2 堆缓冲区溢出漏洞（CVE-2022-1383）

编号	CVE-2022-1383
标题	radareorg/radare2 堆缓冲区溢出漏洞
描述	Radare2（简称为r2 ）是用于逆向和分析二进制文件的完整框架。 GitHub 存储库中 5.6.8版本之前的radareorg/radare2存在基于堆的缓冲区溢出，该错误导致程序读取超出预期缓冲区末尾的数据。攻击者可利用此漏洞从其他内存位置读取敏感信息或导致崩溃。
发布时间	2022/04/17
漏洞级别	中危
影响组件	radare2<5.6.8
影响范围	极小

CVE-2022-1383 漏洞影响了 5.6.8 版本之前的radare2，导致其产生堆缓冲区溢出问题，该问题会导致rare2产生崩溃现象，攻击者可以利用此漏洞读取敏感信息。

rare2是rare的完全重写版本，其主要功能是简化逆向工程任务，其受众群体专业性较强，所以影响范围不是很广。官方已发布补丁，建议使用者及时更新补丁，以避免此漏洞造成的危害。

参考链接： https://github.com/radareorg/radare2/commit/1dd65336f0f0c351d6ea853efcf73cf9c0030862

使用墨菲安全的开源工具帮您快速检测代码安全

开源地址：https://github.com/murphysecurity/

产品官网：https://murphysec.com

一、墨菲安全开源CLI工具

使用CLI工具，在命令行检测指定目录代码的开源组件依赖安全问题

工具地址：https://github.com/murphysecurity/murphysec

具体使用方式可参考项目 README 或官方文档

二、墨菲安全 IDE 插件

在IDE 中即可检测代码依赖的安全问题，并通过准确的修复方案和一键修复功能，快速解决安全问题。

使用方式：

IDE插件中搜索“murphysec”即可安装
选择“点击开始扫描”，即可检测出代码中存在哪些安全缺陷组件
点击“一键修复”，即可对检测出来的漏洞进行一键修复

三、GitLab全量代码检测

使用基于墨菲安全CLI的检测工具，快速对您的GitLab上所有项目进行检测

工具地址：https://github.com/murphysecurity/murphysec-gitlab-scanner

具体使用方式可参考项目 README

以上几种检测方式均可在墨菲安全平台上查看详细的检测结果，并可以查看项目的直接或间接依赖信息。

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署，目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户，公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

关于墨菲安全实验室

墨菲安全实验室是墨菲未来科技旗下的安全研究团队，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。