CVE编号
CVE-2017-14482利用情况
暂无补丁情况
官方补丁披露时间
2017-09-15漏洞描述
25.3之前的GNU emacs允许远程攻击者通过电子邮件执行任意代码,其中包含精心编制的 'Content-Type: text/enriched' 数据,该数据包含x Display XML元素,该元素指定shell命令的执行,该元素与 lisp/textmodes/enriched.el中的不安全text/enriched extension相关,以及对LISP/gnus/mm-view.el中 enriched 和 richtext inline MIME objects的不安全gnus支持。特别是,通过读取精心编制的电子邮件消息(或Usenet新闻文章),emacs用户会立即受到损害。 解决建议
厂商补丁:GNU Emacs
-----
https://debbugs.gnu.org/cgi/bugreport.cgi?bug=28350
参考链接 |
|
|---|---|
| http://www.debian.org/security/2017/dsa-3975 | |
| http://www.openwall.com/lists/oss-security/2017/09/11/1 | |
| https://access.redhat.com/errata/RHSA-2017:2771 | |
| https://debbugs.gnu.org/cgi/bugreport.cgi?bug=28350 | |
| https://git.savannah.gnu.org/cgit/emacs.git/commit/?h=emacs-25&id=9ad0fcc5444... | |
| https://security.gentoo.org/glsa/201801-07 | |
| https://www.debian.org/security/2017/dsa-3970 | |
| https://www.gnu.org/software/emacs/index.html#Releases |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | gnu | emacs | * |
Up to (including) 25.2 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | amazon_AMI | emacs | * |
Up to (excluding) 24.3-20.22.amzn1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | centos_7 | emacs | * |
Up to (excluding) 24.3-20.el7_4 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_7 | emacs | * |
Up to (excluding) 23.4+1-4+deb7u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_8 | emacs | * |
Up to (excluding) 24.4+1-5+deb8u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | emacs | * |
Up to (excluding) 24.5+1-11+deb9u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_25 | emacs | * |
Up to (excluding) 0.31.1-49.fc25 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_26 | emacs | * |
Up to (excluding) 25.3-1.fc26 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_27 | emacs | * |
Up to (excluding) 25.3-1.fc27 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_42.2 | emacs | * |
Up to (excluding) 24.3-28.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_42.3 | emacs | * |
Up to (excluding) 24.3-28.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_7 | emacs | * |
Up to (excluding) 24.3-20.el7_4 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | suse_11_SP4 | emacs | * |
Up to (excluding) 22.3-42.3.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12_SP2 | emacs | * |
Up to (excluding) 24.3-25.3.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12_SP3 | emacs | * |
Up to (excluding) 24.3-25.3.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_16.04 | emacs | * |
Up to (excluding) 24.5+1-6ubuntu1.1 |
|||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
还没有评论,来说两句吧...