Debian dla-3848 : elpa-org - セキュリティ更新

critical Nessus プラグイン ID 201159

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3848 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

------------------------------------------------------------------------- Debian LTS アドバイザリ [email protected] https://www.debian.org/lts/security/Sean Whitton 2024 年 6 月 29 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージ : org-mode バージョン : org-mode 9.1.14+dfsg-3+deb10u3 CVE ID : CVE-2024-39331 Debian バグ : 1074136

メモの保存、ドキュメントの作成、To-Do リストのメンテナンス用 GNU Emacs メジャーモードである Org-mode で脆弱性が発見されました。

org-link-expand-abbrev 関数は、abbrev が shell-command-to-string などの安全でない関数を指定しているときでも、%(...) リンク abbrev を拡張していました。

これにより、電子メールメッセージに埋め込まれたものを含め、Org-mode 形式のファイルが開かれるとすぐに、任意のコード実行が引き起こされる可能性があります。

Debian 10 buster では、これらの問題はバージョン 9.1.14+dfsg-3+deb10u3 で修正されています。

お使いの org-mode パッケージをアップグレードすることをお勧めします。

org-mode の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
https://security-tracker.debian.org/tracker/org-mode

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。