less-530-3.el8_10
エラータID: AXSA:2024-8510:05
リリース日:
2024/07/04 Thursday - 12:50
題名:
less-530-3.el8_10
影響のあるチャネル:
Asianux Server 8 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- less の filename.c の close_altfile() 関数には、
LESSCLOSE の shell_quote() 関数を実行していない
問題があるため、ローカルの攻撃者により、任意の
コマンドの実行を可能とする脆弱性が存在します。
(CVE-2022-48624)
- less の filename.c には、ファイル名の引用符を
誤って処理してしまう問題があるため、ローカル
の攻撃者により、細工されたファイル名を持つ
ファイルの処理を介して、任意のコマンドの実行
を可能とする脆弱性が存在します。
(CVE-2024-32487)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2024-32487
less through 653 allows OS command execution via a newline character in the name of a file, because quoting is mishandled in filename.c. Exploitation typically requires use with attacker-controlled file names, such as the files extracted from an untrusted archive. Exploitation also requires the LESSOPEN environment variable, but this is set by default in many common cases.
less through 653 allows OS command execution via a newline character in the name of a file, because quoting is mishandled in filename.c. Exploitation typically requires use with attacker-controlled file names, such as the files extracted from an untrusted archive. Exploitation also requires the LESSOPEN environment variable, but this is set by default in many common cases.
追加情報:
N/A
ダウンロード:
SRPMS
- less-530-3.el8_10.src.rpm
MD5: f1b144debfd3b797142aca6f92493994
SHA-256: 024e62889d290fb9e903102debc0a512296f4cbdcb96358a635b1c600385ef3f
Size: 371.51 kB
Asianux Server 8 for x86_64
- less-530-3.el8_10.x86_64.rpm
MD5: 051a94fff83428b53e2579ca4751dcfb
SHA-256: 038ac7fc49a39fdaa5417e4a231c6d2087aa33da02836e0e581d483972c66c82
Size: 163.16 kB
English