リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2023:0597-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - 28.2までの GNU Emacs では、lib-src/etags.c が etags プログラムの実装にシステム C ライブラリ関数を使用するため、攻撃者がソースコードファイルの名前のシェルメタ文字を介してコマンドを実行する可能性があります。例えば、現在の作業ディレクトリに信頼できない入力に依存するコンテンツがある状況で、被害者が etags -u * コマンド (etags のドキュメントで推奨) を使用する可能性があります。(CVE-2022-48337)

  - 28.2までの GNU Emacs で問題が発見されました。htmlfontify.el に、コマンドインジェクションの脆弱性があります。
    hfy-istext-command 関数で、パラメーターファイルとパラメーター srcdir が外部入力から取得され、パラメーターがエスケープされません。ファイル名またはディレクトリ名にシェルメタ文字が含まれていると、コードが実行される可能性があります。(CVE-2022-48339)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

SUSE SLES12 セキュリティ更新プログラム: emacs (SUSE-SU-2023:0597-1)

critical Nessus プラグイン ID 172059

バージョン 1.4