[TLP:CLEAR] Emacs 29.3 opravuje 4 zranitelnosti
Textový editor Emacs verze 29.3 opravuje 4 zranitelnosti [6] [7].
Útočníkovi je umožněno vykonávat libovolný Lisp kód jako součást zapnutí Org módu [1] [2] [3].
Zranitelnost se nachází v produktu Emacs ve verzích <29.3.
Více informací:
- CVE-2024-30202 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-676: Use of Potentially Dangerous Function at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2024.
Útočníkovi je umožněno vkládat škodlivý kód do e-mailů, které obsahují MIME obsah a ten je pak zpracováván pomocí Gnus jako důvěryhodný [4] [5].
Zranitelnost se nachází v produktu Emacs ve verzích <29.3.
Více informací:
- CVE-2024-30203 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-345: Insufficient Verification of Data Authenticity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2024.
Útočníkovi je umožněno přinutit Org mód přistupovat k potencionálně nebezpečným souborům [8] [9] [10].
Zranitelnost se nachází v produktu Emacs ve verzích <29.3.
Více informací:
- CVE-2024-30205 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-345: Insufficient Verification of Data Authenticity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2024.
Útočníkovi je umožněno vložit škodlivý kód, který může být spuštěn při generování náhledu v přílohách e-mailu [11] [12].
Zranitelnost se nachází v produktu Emacs ve verzích <29.3.
Více informací:
- CVE-2024-30204 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-345: Insufficient Verification of Data Authenticity at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2024.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2024-30202
- [2] https://git.savannah.gnu.org/cgit/emacs.git/commit/?h=emacs-29&id=befa9fcaae29a6c9a283ba371c3c5234c7f644eb
- [3] https://git.savannah.gnu.org/cgit/emacs/org-mode.git/commit/?id=003ddacf1c8d869b1858181c29ea21b731a8d8d9
- [4] https://nvd.nist.gov/vuln/detail/CVE-2024-30203
- [5] https://git.savannah.gnu.org/cgit/emacs.git/commit/?h=emacs-29&id=937b9042ad7426acdcca33e3d931d8f495bdd804
- [6] https://lists.gnu.org/archive/html/info-gnu/2024-03/msg00005.html
- [7] https://www.openwall.com/lists/oss-security/2024/03/25/2
- [8] https://nvd.nist.gov/vuln/detail/CVE-2024-30205
- [9] https://git.savannah.gnu.org/cgit/emacs.git/commit/?h=emacs-29&id=2bc865ace050ff118db43f01457f95f95112b877
- [10] https://git.savannah.gnu.org/cgit/emacs/org-mode.git/commit/?id=4255d5dcc0657915f90e4fba7e0a5514cced514d
- [11] https://nvd.nist.gov/vuln/detail/CVE-2024-30204
- [12] https://git.savannah.gnu.org/cgit/emacs.git/commit/?h=emacs-29&id=6f9ea396f49cbe38c2173e0a72ba6af3e03b271c