LINUX.ORG.RU

Gnus


6

0

Всего сообщений: 22

См. также:

 , , ,

GNU Emacs 25.3 с устранением давней уязвимости, позволяющей файлу (письму) исполнять любой код

Группа Безопасность

Представлен экстренный выпуск GNU Emacs 25.3, устраняющий уязвимость в enriched-mode, позволяющую злоумышленнику сформировать файл (к примеру, электронное письмо), при отображении которого в Emacs будет исполнен произвольный код.

Уязвимости подвержены все версии, начиная с 19.29.

Не желающие обновляться могут просто занулить уязвимую функцию, отключив таким образом поддержку text/enriched:

(eval-after-load "enriched"
  '(defun enriched-decode-display-prop (start end &optional param)
     (list start end)))

(добавить в инициализационный файл)

text/enriched — альтернативный HTML и ныне едва ли кем используемый SGML-подобный формат, описанный в RFC 1896, и предназначавшийся в первую очередь именно для разметки электронных писем.

Дифф

>>> Источник

 , ,

Zmicier ()

Форум

Август 2019

Январь 2019

2017

2017

2016

2013