Advisory ROSA-SA-2024-2433
ПО: emacs 28.1
ОС: ROSA-CHROME
package_evr_string: emacs-28.1-5
CVE-ID: CVE-2022-48339
BDU-ID: None
CVE-Crit: N/A
CVE-DESC.: Проблема была обнаружена в GNU Emacs. htmlfontify.el имеет уязвимость, связанную с внедрением команд. В функции hfy-istext-command файл параметров и параметр srcdir поступают из внешнего ввода, и параметры не экранируются. Если имя файла или каталога содержит метасимволы оболочки, код может быть выполнен
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update emacs
CVE-ID: CVE-2022-48338
BDU-ID: None
CVE-Crit: N/A
CVE-DESC.: Проблема была обнаружена в GNU Emacs. В Ruby-mode.el функция Ruby-find-library-file имеет уязвимость локального внедрения команд. Функция Ruby-find-library-file является интерактивной функцией и привязана к C-c C-f. Внутри функции внешний драгоценный камень команды вызывается через командную строку оболочки, но параметры имени функции не экранируются. Таким образом, вредоносные исходные файлы Ruby могут вызывать выполнение команд.
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update emacs
CVE-ID: CVE-2022-45939
BDU-ID: None
CVE-Crit: N/A
CVE-DESC.: GNU Emacs позволяет злоумышленникам выполнять команды через метасимволы оболочки в имени файла исходного кода, поскольку lib-src/etags.c использует функцию библиотеки системы C в своей реализации программы ctags. Например, жертва может использовать команду «ctags *» (предложенную в документации ctags) в ситуации, когда содержимое текущего рабочего каталога зависит от ненадежных входных данных.
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update emacs
CVE-ID: CVE-2022-48337
BDU-ID: None
CVE-Crit: N/A
CVE-DESC.: GNU Emacs позволяет злоумышленникам выполнять команды с помощью метасимволов оболочки в имени файла исходного кода, поскольку lib-src
CVE-STATUS: Устранена
CVE-REV: Для закрытия выполнить команду: sudo dnf update emacs
Affected projects
Platform rosa2021.1
Project emacs