漏洞信息详情
GNU Emacs “enable-local-variables” 远程代码执行漏洞
- CNNVD编号:CNNVD-201208-191
- 危害等级: 中危
- CVE编号: CVE-2012-3479
- 漏洞类型:
- 发布时间: 2012-08-15
- 威胁类型: 远程
- 更新时间: 2012-08-15
- 厂 商: gnu
- 漏洞来源:
漏洞简介
Emacs是一个功能强大的可扩展的实时显示文本编辑器。
GNU Emacs中存在漏洞,可被恶意攻击者利用操控用户系统。该漏洞源于评估本地文件变量时,处理‘enable-local-variables’变量存在错误。攻击者可利用该漏洞提升‘eval’表单并执行任意Lisp代码。成功的利用需要将‘enable-local-variables’设置为‘:safe’。GNU Emacs 23.2、23.3、23.4、24.1版本中存在漏洞。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.gnu.org/software/emacs/
参考网址
来源: SLACKWARE
名称: SSA:2012-228-02
链接:http://www.slackware.com/security/viewer.php?l=slackware-security&y=2012&m=slackware-security.420006
来源: SECTRACK
名称: 1027375
链接:http://www.securitytracker.com/id?1027375
来源: BID
名称: 54969
链接:http://www.securityfocus.com/bid/54969
来源: MLIST
名称: [oss-security] 20120812 Re: Security flaw in GNU Emacs file-local variables
链接:http://www.openwall.com/lists/oss-security/2012/08/13/2
来源: MLIST
名称: [oss-security] 20120813 Security flaw in GNU Emacs file-local variables
链接:http://www.openwall.com/lists/oss-security/2012/08/13/1
来源: SECUNIA
名称: 50157
链接:http://secunia.com/advisories/50157
来源: debbugs.gnu.org
链接:http://debbugs.gnu.org/cgi/bugreport.cgi?bug=12155
来源:NSFOCUS 名称:20383 链接:http://www.nsfocus.net/vulndb/20383
受影响实体
- Gnu Emacs:24.1
- Gnu Emacs:23.4
- Gnu Emacs:23.2
- Gnu Emacs:23.3
补丁
- emacs-21.4a
评论