低危 Xen 内存泄露漏洞
CVE编号
CVE-2017-14482利用情况
暂无补丁情况
官方补丁披露时间
2017-09-15漏洞描述
25.3之前的GNU emacs允许远程攻击者通过电子邮件执行任意代码,其中包含精心编制的 'Content-Type: text/enriched' 数据,该数据包含x Display XML元素,该元素指定shell命令的执行,该元素与 lisp/textmodes/enriched.el中的不安全text/enriched extension相关,以及对LISP/gnus/mm-view.el中 enriched 和 richtext inline MIME objects的不安全gnus支持。特别是,通过读取精心编制的电子邮件消息(或Usenet新闻文章),emacs用户会立即受到损害。 解决建议
厂商补丁:GNU Emacs-----https://debbugs.gnu.org/cgi/bugreport.cgi?bug=28350受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | gnu | emacs | * | Up to (including) 25.2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | amazon_AMI | emacs | * | Up to (excluding) 24.3-20.22.amzn1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | centos_7 | emacs | * | Up to (excluding) 24.3-20.el7_4 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_7 | emacs23 | * | Up to (excluding) 23.4+1-4+deb7u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_8 | emacs24 | * | Up to (excluding) 24.4+1-5+deb8u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | emacs24 | * | Up to (excluding) 24.5+1-11+deb9u1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_25 | autotrace | * | Up to (excluding) 25.3-1.fc25 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_26 | emacs-filesystem | * | Up to (excluding) 25.3-1.fc26 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_27 | emacs-nox | * | Up to (excluding) 25.3-3.fc27 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_42.2 | emacs-el | * | Up to (excluding) 24.3-28.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_42.3 | emacs-el | * | Up to (excluding) 24.3-28.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_7 | oraclelinux-release | * | Up to (excluding) 24.3-20.el7_4 | |||||
| 运行在以下环境 | |||||||||
| 系统 | redhat_7 | emacs | * | Up to (excluding) 24.3-20.el7_4 | |||||
| 运行在以下环境 | |||||||||
| 系统 | suse_11_SP4 | emacs | * | Up to (excluding) 22.3-42.3.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12 | emacs | * | Up to (excluding) 24.3-25.3 | |||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12_SP2 | emacs | * | Up to (excluding) 24.3-25.3.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | suse_12_SP3 | emacs | * | Up to (excluding) 24.3-25.3.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_14.04 | emacs24 | * | Up to (excluding) 24.3+1-2ubuntu1.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_14.04.6_lts | emacs24 | * | Up to (excluding) 24.3+1-2ubuntu1.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_16.04 | emacs24 | * | Up to (excluding) 24.5+1-6ubuntu1.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_16.04.7_lts | emacs24 | * | Up to (excluding) 24.5+1-6ubuntu1.1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_18.04.5_lts | emacs25 | * | Up to (excluding) 25.2+1-6 | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
| CWE-ID | 漏洞类型 |
| NVD-CWE-noinfo |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论