漏洞信息详情

SQUIRREL 缓冲区错误漏洞

• CNNVD编号：CNNVD-202207-2645
• 危害等级： 超危
  
• CVE编号： CVE-2021-41556
• 漏洞类型： 缓冲区错误
• 发布时间： 2022-07-28
• 威胁类型： 远程
• 更新时间： 2022-08-11
• 厂        商：
• 漏洞来源：

漏洞简介

SQUIRREL是编程语言SQUIRREL 3.2稳定版。

SQUIRREL 2.2.5及之前版本和3.1及之前的3.x版本存在缓冲区错误漏洞，该漏洞源于sqclass.cpp允许越界读取（在核心解释器中），可导致代码执行，如果受害者执行攻击者控制的squirrel脚本，即使文件系统功能等所有危险功能已被禁用，攻击者仍有可能突破squirrel脚本沙盒，攻击者可能会滥用这个漏洞针对（例如）允许通过SquirrelScripts进行自定义的云服务或通过嵌入Squirrel引擎的视频游戏分发恶意软件。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www.squirrel-lang.org/#download

参考网址

来源:MISC

链接:https://github.com/albertodemichelis/squirrel/commit/23a0620658714b996d20da3d4dd1a0dcf9b0bd98

来源:MISC

链接:http://www.squirrel-lang.org/#download

来源:MISC

链接:https://blog.sonarsource.com/squirrel-vm-sandbox-escape/

来源:FEDORA

链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/BV7SJJ44AGAX4ILIVPREIXPJ2GOG3FKV/

来源:FEDORA

链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/M3FQILX7UUEERSDPMZP3MKGTMY2E7ESU/

来源:cxsecurity.com

链接:https://cxsecurity.com/cveshow/CVE-2021-41556/

受影响实体

暂无

补丁

• SQUIRREL 缓冲区错误漏洞的修复措施