发布于2024.05.07

备注：OpenHarmony 3.2-Release分支已停止维护，后续该分支的安全漏洞也不再维护，详情参见： OpenHarmony 3.2-Release分支停止维护公告

CVE	漏洞描述	漏洞影响	严重程度	受影响的版本	受影响的仓库	修复链接
CVE-2024-27217	MSDP释放后使用漏洞	本地攻击者通过本漏洞可在预装应用中执行任意代码	中危	OpenHarmony-v4.0-Release	msdp_device_status	4.0.x
CVE-2024-23808	Ark编译器前端越界读漏洞	本地攻击者通过本漏洞可在预装应用中执行任意代码	中危	OpenHarmony-v4.0-Release	arkcompiler_ets_frontend	4.0.x
CVE-2024-31078	蓝牙服务释放后使用漏洞	本地攻击者通过本漏洞造成服务crash	低危	OpenHarmony-v4.0-Release	communication_bluetooth_service	4.0.x
CVE-2024-3757	Ark运行时整数溢出漏洞	本地攻击者通过本漏洞造成应用crash	低危	OpenHarmony-v4.0-Release	arkcompiler_ets_runtime	4.0.x
CVE-2024-3758	Hmdfs堆溢出漏洞	本地攻击者通过本漏洞可在TCB中执行任意代码	中危	OpenHarmony-v4.0-Release	kernel_linux_5.10	4.0.x
CVE-2024-3759	Hmdfs释放后使用漏洞	本地攻击者通过本漏洞可在TCB中执行任意代码	中危	OpenHarmony-v4.0-Release	kernel_linux_5.10	4.0.x

以下为三方库漏洞，只提供CVE、严重程度、受影响的OpenHarmony版本

CVE	严重程度	CVSS 3.1 得分	受影响的仓库	受影响的OpenHarmony版本	修复链接
CVE-2024-26614	中危	5.3	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2024-26606	低危	3.5	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2024-26589	高危	7.8	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-6176	中危	4.7	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-6121	中危	4.3	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-52492	中危	5.7	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-52486	中危	4.8	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-52444	高危	7.8	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-52443	中危	5.5	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-52438	高危	7.8	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-52435	中危	5.5	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2023-51779	中危	4.6	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2021-46945	中危	5.7	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x
CVE-2021-33631	高危	7.8	kernel_linux_5.10	OpenHarmony-v4.0-Release	4.0.x

请在合入当月及之前全部已公开安全补丁之后，参考如下各维护版本的安全补丁标签更新方法，更新安全补丁标签至05月。

对应维护版本	安全补丁修改方式参考链接
4.0.x	https://gitee.com/openharmony/startup_init/pulls/2728