漏洞信息详情
SQUIRREL 缓冲区错误漏洞
- CNNVD编号:CNNVD-202207-2645
- 危害等级: 超危
- CVE编号: CVE-2021-41556
- 漏洞类型: 缓冲区错误
- 发布时间: 2022-07-28
- 威胁类型: 远程
- 更新时间: 2022-08-11
- 厂 商:
- 漏洞来源:
漏洞简介
SQUIRREL是编程语言SQUIRREL 3.2稳定版。
SQUIRREL 2.2.5及之前版本和3.1及之前的3.x版本存在缓冲区错误漏洞,该漏洞源于sqclass.cpp允许越界读取(在核心解释器中),可导致代码执行,如果受害者执行攻击者控制的squirrel脚本,即使文件系统功能等所有危险功能已被禁用,攻击者仍有可能突破squirrel脚本沙盒,攻击者可能会滥用这个漏洞针对(例如)允许通过SquirrelScripts进行自定义的云服务或通过嵌入Squirrel引擎的视频游戏分发恶意软件。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.squirrel-lang.org/#download
参考网址
来源:MISC
链接:https://github.com/albertodemichelis/squirrel/commit/23a0620658714b996d20da3d4dd1a0dcf9b0bd98
来源:MISC
链接:http://www.squirrel-lang.org/#download
来源:MISC
链接:https://blog.sonarsource.com/squirrel-vm-sandbox-escape/
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/BV7SJJ44AGAX4ILIVPREIXPJ2GOG3FKV/
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/M3FQILX7UUEERSDPMZP3MKGTMY2E7ESU/
来源:cxsecurity.com
链接:https://cxsecurity.com/cveshow/CVE-2021-41556/
受影响实体
暂无
补丁
- SQUIRREL 缓冲区错误漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论