FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para corrigir a execução arbitrária de comandos no ksh, aviso ArchLinux: 202002-4

quinta-feira, 13 de fevereiro de 2020

Atualização de segurança do ArchLinux para corrigir a execução arbitrária de comandos no ksh, aviso ArchLinux: 202002-4





Confira !!



O pacote ksh antes da versão 2020.0.0-2 é vulnerável à execução arbitrária de comandos.
Comunicado de Segurança do Arch Linux ASA-202002-4
=========================================

Gravidade: alta
Data: 2020-02-08
CVE-ID: CVE-2019-14868
Pacote: ksh
Tipo: execução de comando arbitrário
Remoto: Não
Link: https://security.archlinux.org/AVG-1095

Sumário
=======

O pacote ksh antes da versão 2020.0.0-2 é vulnerável a arbitrários
execução de comando.

Resolução
==========

Atualize para 2020.0.0-2.

# pacman -Syu "ksh> = 2020.0.0-2"

O problema foi corrigido a montante, mas ainda não há uma versão disponível.

Gambiarra
==========

Nenhum.

Descrição
===========

Foi encontrada uma falha na versão ksh 2020.0.0 na avaliação de certos
variáveis ​​ambientais. Um invasor pode usar essa falha para substituir ou
ignore as restrições do ambiente para executar comandos do shell. Serviços e
aplicativos que permitem que atacantes não autenticados remotos forneçam um
dessas variáveis ​​de ambiente poderia permitir que eles explorassem esse problema
remotamente.

Impacto
======

Um invasor pode executar comandos arbitrários que estão na lista negra
no host afetado.

Referências
==========

https://github.com/att/ast/commit/c7de8b641266bac7c77942239ac659edfee9ecd2
https://security.archlinux.org/CVE-2019-14868


Fonte

Até a próxima !1

Nenhum comentário:

Postar um comentário