Ejecución arbitraria de comandos en ShadowSocks
El investigador de seguridad, Niklas Abel, ha descubierto un problema de seguridad en la librería shadowsocks que podría resultar en una ejecución de comandos del shell arbitrarios.
Shadowsocks es una librería que implementa socks5 de forma segura.
El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podría ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.
La vulnerabilidad tiene asignado el CVE-2017-15924.
El parche del fallo está publicado aquí.
Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
DSA-4009-1 shadowsocks-libev -- security update
Shadowsocks es una librería que implementa socks5 de forma segura.
El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podría ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.
La vulnerabilidad tiene asignado el CVE-2017-15924.
El parche del fallo está publicado aquí.
Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
Más información:
DSA-4009-1 shadowsocks-libev -- security update
https://www.debian.org/security/2017/dsa-4009
Shadowsocks
https://shadowsocks.org/en/index.html
Shadowsocks
https://shadowsocks.org/en/index.html
Via: unaaldia.hispasec.com
Ejecución arbitraria de comandos en ShadowSocks
Reviewed by Zion3R
on
6:37
Rating:
Reviewed by Zion3R
on
6:37
Rating:
