GLSA 201511-01: MirBSD Korn Shell: Arbitrary code execution

Опасность:средняя
Заголовок:MirBSD Korn Shell: Arbitrary code execution
Дата:02.11.2015
Ошибки: #524414
ID:201511-01

Сводка

An attacker who already had access to the environment could so append values to parameters passed through programs.

Назначение

MirBSD Korn Shell is an actively developed free implementation of the Korn Shell programming language and a successor to the Public Domain Korn Shell.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
app-shells/mksh < 50c >= 50c All supported architectures

Описание

Improper sanitation of environment import allows for appending of values to passed parameters.

Воздействие

An attacker who already had access to the environment could so append values to parameters passed through programs (including sudo(8) or setuid) to shell scripts, including indirectly, after those programs intended to sanitise the environment, e.g. invalidating the last $PATH component.

Обход

There is no known workaround at this time.

Решение

All mksh users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-shells/mksh-50c"
    

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201511-01.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!