7.2высокая
BDU:2017-02574
Уязвимость компонента ss-manager (manager.c) прокси-сервера shadowsocks-libev, позволяющая нарушителю внедрить произвольную команду или выполнить произвольный код
Опубликовано: 2017-12-14
Описание
Уязвимость компонента ss-manager (manager.c) прокси-сервера shadowsocks-libev связана с недостаточной очисткой специальных элементов, используемых в команде. Эксплуатация уязвимости может позволить нарушителю, действующему локально, внедрить произвольную команду или выполнить произвольный код путем отправки специально сформированного файла конфигурации в формате JSON с помощью UDP-запроса на адрес 127.0.0.1
Затрагиваемое ПО и версии
Debian GNU/Linux (9,2)shadowsocks-libev (1.3)shadowsocks-libev (1.3.2)shadowsocks-libev (1.4.0)shadowsocks-libev (1.4.1)shadowsocks-libev (1.4.2)shadowsocks-libev (1.4.3)shadowsocks-libev (1.4.4)shadowsocks-libev (1.4.5)shadowsocks-libev (1.4.6)shadowsocks-libev (1.4.7)shadowsocks-libev (1.4.8)shadowsocks-libev (1.5.0)shadowsocks-libev (1.5.1)shadowsocks-libev (1.5.2)shadowsocks-libev (1.5.3)shadowsocks-libev (1.6.1)shadowsocks-libev (1.6.2)shadowsocks-libev (1.6.3)shadowsocks-libev (1.6.4)shadowsocks-libev (2.0.1)shadowsocks-libev (2.0.2)shadowsocks-libev (2.0.3)shadowsocks-libev (2.0.4)shadowsocks-libev (2.0.5)shadowsocks-libev (2.0.6)shadowsocks-libev (2.0.7)shadowsocks-libev (2.0.8)shadowsocks-libev (2.1.0)shadowsocks-libev (2.1.1)
Способ устранения
Использование рекомендаций:
http://www.debian.org/security/2017/dsa-4009
https://github.com/shadowsocks/shadowsocks-libev/commit/c67d275803dc6ea22c558d06b1f7ba9f94cd8de3
Оценка CVSS
| Балл | 7.2 — высокая опасность |
Источники и патчи