LINUX.ORG.RU

Обнаружена уязвимость в emacs

 , ,


1

2

Обнаружены две уязвимости в emacs, которые могут привести к исполнению произвольного кода.

Когда включен режим ‘global-ede-mode’, EDE в Emacs автоматически загружает Project.ede файл из директории проекта (CVE-2012-0035).

Когда ‘enable-local-variables’’ установлена в значение ‘:safe’, Emacs автоматически обрабатывает выражения (CVE-2012-3479).

Удалённый взломщик может соблазнить пользователя открыть специальный созданный файл либо с возможным исполнением случайного кода с привилегиями процесса, либо с отказом от обслуживания в качестве результата.

Рекомендуется обновление до последней версии как для пользователей emacs 23.x, так и для пользователей emacs 24.x.

>>> gentoo.org

anonymous

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 1)

Уязвимость 2012 года, а исправили только в 2014 году. Наверное, АНБ смилостивилось и разрешило всё-таки исправить её.

anonymous
()

Ну а что вы хотели от редактора-ОС.

intelfx ★★★★★
()
Ответ на: комментарий от anonymous

Ну так тут уже пролетала новость о дырке, которую закрывали толи 4 года, толи 6 лет, лень сейчас искать.

anonymous
()

Удалённый взломщик может соблазнить пользователя открыть специальный созданный файл

может соблазнить пользователя

А может и не соблазнить. Баг в пользователе, я считаю.

no-such-file ★★★★★
()

Удалённый взломщик может соблазнить пользователя открыть специальный созданный

Чем можно соблазнить емаксера на какую-либо деятельность?

cipher ★★★★★
()
Ответ на: комментарий от anonymous

Исправили ее еще в 2012, просто не выпустили GLSA. Пользователи stable обновились еще тогда. А уж товарищи из unstable и подавно.

Pinkbyte ★★★★★
()

Решето!

anonymous
()

Кстати, всегда интересовало, как в такого рода расширяемых системах, когда пользователи или кто угодно могут писать код на лиспе/луа/etc и подгружать его, организована безопасность. Ведь в том же емаксе сэндбоксинга как такого нет (вроде), можно вставить код, который крал бы .ssh, например. В исходники очередного пакета всё равно мало кто смотрит, а если уж зловредный код в «пандорических захватах» записать, так никто и не поймёт. Поставит народ с мельпы очередной говнопакет, и получит «rm -rf ~/*».

yoghurt ★★★★★
()

Сервер на Emacs 23.2.1. Полет нормальный. Он предлагал мне открыть специально созданный файл, да, но я не соблазнился, выстоял.

Zubok ★★★★★
()

которые могут привести к исполнению произвольного кода

Еmacs настолько универсален, что даже вместо вас выполняет код.

iron ★★★★★
()
Последнее исправление: iron (всего исправлений: 1)

Удалённый взломщик может соблазнить пользователя

Нет ли здесь нарушения статьи 6.21 КоАП?

DELIRIUM ☆☆☆☆☆
()

Удалённый взломщик может соблазнить пользователя открыть специальный созданный файл либо с возможным исполнением случайного кода с привилегиями процесса, либо с отказом от обслуживания в качестве результата.

Удаленный взломщик может соблазнить пользователя ввести rm -rf. Причем тут ПО?

Deleted
()

Удалённый взломщик может соблазнить пользователя

Когда-то я это уже слышал... И точно: «Здравствуйте, я пакистанский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.».

argv_0_
()

s/Обнаружена уязвимость в emacs/Обнаружена уязвимость в ОС GNU Emacs/

expelled ★★
()

Удалённый взломщик может соблазнить пользователя открыть специальный созданный файл либо с возможным исполнением произвольного кода с привилегиями процесса, либо с отказом от обслуживания в качестве результата.

так наверное правильней, судя по контексту. Случайный код это к магам хаоса.

Csandriel
()
Ответ на: комментарий от cipher

Чем можно соблазнить емаксера на какую-либо деятельность?

посулить еще одну свистелку к емаксу?

Csandriel
()

Удалённый взломщик может соблазнить пользователя открыть специальный созданный файл либо с возможным исполнением случайного кода с привилегиями процесса, либо с отказом от обслуживания в качестве результата.

получить приз голый столлман скачать free as beer четыре свободы elisp бюджетные решения GPL смотреть C-x C-f жми скорее пока не закрыли под двойной лицензией

d_a ★★★★★
()

Интересно, а для емакса уже написали антивирус?

risenshnobel ★★★
()

обнаружена фатальная уязвимость в человеке — рот способен принимать несъедобные предметы, руки способны залезать в небезопасные места... и т.д. количество багов постояно пополняется за счёт открытия новых, патчи, которые хоть как-то помогают справится с этими проблемами(но не решают их окочательно и ничего не гарантируют т.к. могут влиять только на софтовую часть, да и то не всю(из-за закрытости, проприетарности и дрм)) накладывают единицы, большой объём легаси, в котором чёрт ногу сломит...

Bad_ptr ★★★★★
()
Последнее исправление: Bad_ptr (всего исправлений: 2)

Угарная новость.

А ещё emacs автоматически подгружает файлы ~/.emacs и ~/.emacs.d, что может привести к исполнению произвольного кода.

aedeph_ ★★
()
Последнее исправление: aedeph_ (всего исправлений: 1)
Ответ на: комментарий от d_a

Я застал тот интернет. Мне понравилась твоя шутка.

anonymous
()
Ответ на: комментарий от anonymous

кому надо пользуются ed и дыры емакса поэтому так долго неустраняли ибо известно кто пользуется этим лиспомашинозаменителем.

qulinxao ★★☆
()

Когда он уже ELF научится, а не через эти костыли? Без этого - не операционная система, а прям vim какой-то.

Pavval ★★★★★
()
Последнее исправление: Pavval (всего исправлений: 1)

Обнаружена уязвимость в emacs

, позволяющая варить кофе?

sT331h0rs3 ★★★★★
()

Тогда по-хорошему надо так-же обрадовать рубистоав-rvmщиков и zshуеров, у этой братии исполнять какой-нибудь .something.local при входе в каталог - нормальное дело.

anonymous
()
Ответ на: комментарий от Zubok

О! Какая замечательная штука! Надо будет поставить и поиграться.

Ну вот и соблазнили одного пользователя.

anonymous
()
Ответ на: комментарий от kravich

iloveyou.el

от небритого линуксоеда, звучит как минимум настораживающе.

ioway
()
Ответ на: комментарий от hvatitbanit

С hunchentoot ты, конечно, уже игрался? Там лисп всё-таки православнее, хоть сервер и говно

Да, игрался. Да уж сто лет назад. А до этого еще и с UnCommon Web (UCW). Мне пока интересен Emacs в данной области, скорее, с художественной точки зрения, нежели с практической. :)

Zubok ★★★★★
()
Ответ на: комментарий от ioway

На Рутковску не гони! Очень милая пани.

anonymous
()
Ответ на: комментарий от cipher

Чем можно соблазнить емаксера на какую-либо деятельность?

RMS соблазнил же их ломать себе пальцы

rainbow881
()

Удалённый взломщик может соблазнить пользователя

Влажные мечты... Уйду с вима!

Stalin ★★★★★
()

Сравниваю это с новой уязвимостью Microsoft rtf нулевого дня получения привелигированного контроля. Для всей линейки office 2013-2003 + sharepoint и + заражение через rtf в outlook при просмотре сообщений без открытия аттача rtf. Третий день пошёл а не слышно чтобы Microsoft собиралась выпускать исправления. Кроме отключения функционала вручную пока ничего не посоветовали.

PiroXiline
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.