ГлавнаяБаза уязвимостей БДУ → BDU:2024-04783
10критическая

BDU:2024-04783 (CVE-2024-39331)

Уязвимость функции Org-Link-Expand-ABBREV файла LISP/OL.EL текстового редактора EMACS, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-06-25
Описание

Уязвимость функции Org-Link-Expand-ABBREV файла LISP/OL.EL текстового редактора EMACS существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной команды

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Red Hat Enterprise Linux (9)ROSA Virtualization (2.1)EMACS (до 29.4)Org mode (до 9.7.5)ОСОН ОСнова Оnyx (до 2.11)ROSA Virtualization 3.0 (3.0)МСВСфера (9.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимостей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
https://git.savannah.gnu.org/cgit/emacs/org-mode.git/commit/?id=f4cc61636947b5c2f0afc67174dd369fe3277aa8

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-39331

Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-39331

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения emacs до версии 1:26.1+1-3.2+deb10u6

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2796

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2841

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:6510?lang=ru

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://git.savannah.gnu.org/cgit/emacs.git/tree/etc/NEWS?h=emacs-29https://git.savannah.gnu.org/cgit/emacs/org-mode.git/commit/?id=f4cc61636947b5c2f0afc67174dd369fe3277aa8https://list.orgmode.org/87sex5gdqc.fsf%40localhost/https://lists.gnu.org/archive/html/info-gnu-emacs/2024-06/msg00000.htmlhttps://news.ycombinator.com/item?id=40768225https://www.openwall.com/lists/oss-security/2024/06/23/1https://www.openwall.com/lists/oss-security/2024/06/23/2https://vuldb.com/?id.269495
Проверьте безопасность своего сайта и почты → Полная проверка домена