Múltiples vulnerabilidades en Debian-Emacs

INTRODUCCIÓN

Se han encontrado 3 vulnerabilidades en el editor de texto Emacs para Debian.
(CVE-2022-48337) (CVE-2022-48338) (CVE-2022-48339)

ANÁLISIS

CVE-2022-48337 CVSSv3.1 9.8:

GNU Emacs permite a los atacantes ejecutar comandos a través de metacaracteres del shell en el nombre de un archivo de código fuente,porque lib-src/etags.c utiliza la función de la biblioteca C del sistema en su implementación del programa etags. Por ejemplo, una víctima puede utilizar el comando "etags -u *" (sugerido en la documentación de etags) en una situación en la que el directorio de trabajo actual tiene contenidos que dependen de una entrada no fiable.

CVE-2022-48338 CVSSv3.1 9.8:

En ruby-mode.el, la función ruby-find-library-file tiene una vulnerabilidad local de inyección de comandos.La función ruby-find-library-file es una función interactiva, y está vinculada a C-c C-f. Dentro de la función, el comando externo gem es llamado a través de shell-command-to-string, pero los parámetros feature-name no son comprobados. Por lo tanto, los archivos fuente Ruby maliciosos pueden hacer que se ejecuten comandos.

CVE-2022-48339 CVSSv3.1 9.8:

htmlfontify.el tiene una vulnerabilidad de inyección de comandos. En la función hfy-istext-command, el parámetro file y el parámetro srcdir provienen de una entrada externa, y los parámetros no están escapados. Si un nombre de archivo o directorio contiene metacaracteres de shell, puede ejecutarse código.

Versiones afectadas:

• GNU EMACS 28.2 y anteriores.
• Debian Linux 11.0.

RECOMENDACIONES

Para la distribución estable (bullseye), estos problemas se han solucionado en la versión 1:27.1+1-3.1+deb11u2

REFERENCIAS

https://www.cybersecurity-help.cz/vdb/SB2023022605
https://nvd.nist.gov/vuln/detail/CVE-2022-48337
https://nvd.nist.gov/vuln/detail/CVE-2022-48338
https://nvd.nist.gov/vuln/detail/CVE-2022-48339
https://www.debian.org/security/2023/dsa-5360