検出

FreeBSD:emacs -- リモートコードの実行の脆弱性(c1e5f35e-f93d-11e1-b07f-00235a5f2c9a)

medium Nessus プラグイン ID 62023

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Chong Yidong 氏による報告:

Paul Ling 氏は、GNU Emacs のファイルローカル変数コードにセキュリティの欠陥を見つけました。

Emacs ユーザーオプション「enable-local-variables」が「:safe」(デフォルト値は t)に設定されると、Emacs はファイルローカル変数のセクションでの「eval」フォームの評価を自動的に拒否する必要があります。バグのため、Emacs は代わりに自動的にこうした「eval」フォームを評価します。このため、ユーザーが「enable-local-variables」の値を「:safe」に変更すると、悪意のあるファイルにアクセスすることで、ユーザーの権限で任意の Emacs Lisp コードが自動的に実行される可能性があります。

このバグは、Emacs 23.2、23.3、23.4、24.1 に存在します。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://lists.gnu.org/archive/html/emacs-devel/2012-08/msg00802.html

https://debbugs.gnu.org/cgi/bugreport.cgi?bug=12155

http://www.nessus.org/u?74c6d735

プラグインの詳細

深刻度: Medium

ID: 62023

ファイル名: freebsd_pkg_c1e5f35ef93d11e1b07f00235a5f2c9a.nasl

バージョン: 1.11

タイプ: local

公開日: 2012/9/10

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:emacs, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/9/8

脆弱性公開日: 2012/8/13

参照情報

CVE: CVE-2012-3479

BID: 54969