BDU:2017-02574

Опубликовано: 27 окт. 2017

Источник: fstec

CVSS3: 7.8

CVSS2: 7.2

EPSS Низкий

Описание

Уязвимость компонента ss-manager (manager.c) прокси-сервера shadowsocks-libev связана с недостаточной очисткой специальных элементов, используемых в команде. Эксплуатация уязвимости может позволить нарушителю, действующему локально, внедрить произвольную команду или выполнить произвольный код путем отправки специально сформированного файла конфигурации в формате JSON с помощью UDP-запроса на адрес 127.0.0.1

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Debian GNU/Linux

shadowsocks-libev

Версия ПО

9,2 (Debian GNU/Linux)

1.3 (shadowsocks-libev)

1.3.2 (shadowsocks-libev)

1.4.0 (shadowsocks-libev)

1.4.1 (shadowsocks-libev)

1.4.2 (shadowsocks-libev)

1.4.3 (shadowsocks-libev)

1.4.4 (shadowsocks-libev)

1.4.5 (shadowsocks-libev)

1.4.6 (shadowsocks-libev)

1.4.7 (shadowsocks-libev)

1.4.8 (shadowsocks-libev)

1.5.0 (shadowsocks-libev)

1.5.1 (shadowsocks-libev)

1.5.2 (shadowsocks-libev)

1.5.3 (shadowsocks-libev)

1.6.1 (shadowsocks-libev)

1.6.2 (shadowsocks-libev)

1.6.3 (shadowsocks-libev)

1.6.4 (shadowsocks-libev)

2.0.1 (shadowsocks-libev)

2.0.2 (shadowsocks-libev)

2.0.3 (shadowsocks-libev)

2.0.4 (shadowsocks-libev)

2.0.5 (shadowsocks-libev)

2.0.6 (shadowsocks-libev)

2.0.7 (shadowsocks-libev)

2.0.8 (shadowsocks-libev)

2.1.0 (shadowsocks-libev)

2.1.1 (shadowsocks-libev)

2.1.2 (shadowsocks-libev)

2.1.3 (shadowsocks-libev)

2.1.4 (shadowsocks-libev)

2.2.0 (shadowsocks-libev)

2.2.1 (shadowsocks-libev)

2.2.2 (shadowsocks-libev)

2.2.3 (shadowsocks-libev)

2.3.0 (shadowsocks-libev)

2.3.1 (shadowsocks-libev)

2.3.2 (shadowsocks-libev)

2.3.3 (shadowsocks-libev)

2.4.0 (shadowsocks-libev)

2.4.1 (shadowsocks-libev)

2.4.2 (shadowsocks-libev)

2.4.3 (shadowsocks-libev)

2.4.4 (shadowsocks-libev)

2.4.5 (shadowsocks-libev)

2.4.6 (shadowsocks-libev)

2.4.7 (shadowsocks-libev)

2.4.8 (shadowsocks-libev)

2.5.0 (shadowsocks-libev)

2.5.1 (shadowsocks-libev)

2.5.2 (shadowsocks-libev)

2.5.3 (shadowsocks-libev)

2.5.4 (shadowsocks-libev)

2.5.5 (shadowsocks-libev)

2.5.6 (shadowsocks-libev)

2.6.0 (shadowsocks-libev)

2.6.1 (shadowsocks-libev)

2.6.2 (shadowsocks-libev)

2.6.3 (shadowsocks-libev)

3.0.0 (shadowsocks-libev)

3.0.1 (shadowsocks-libev)

3.0.2 (shadowsocks-libev)

3.0.3 (shadowsocks-libev)

3.0.4 (shadowsocks-libev)

3.0.5 (shadowsocks-libev)

3.0.6 (shadowsocks-libev)

3.0.7 (shadowsocks-libev)

3.0.8 (shadowsocks-libev)

3.1.0 (shadowsocks-libev)

Тип ПО

Операционная система

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

http://www.debian.org/security/2017/dsa-4009

https://github.com/shadowsocks/shadowsocks-libev/commit/c67d275803dc6ea22c558d06b1f7ba9f94cd8de3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 63%

0.00451

Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

CVE-2017-15924

CVSS3: 7.8

ubuntu

больше 8 лет назад

In manager.c in ss-manager in shadowsocks-libev 3.1.0, improper parsing allows command injection via shell metacharacters in a JSON configuration request received via 127.0.0.1 UDP traffic, related to the add_server, build_config, and construct_command_line functions.

CVE-2017-15924

CVSS3: 7.8

nvd

больше 8 лет назад

CVE-2017-15924

CVSS3: 7.8

debian

больше 8 лет назад

In manager.c in ss-manager in shadowsocks-libev 3.1.0, improper parsin ...

openSUSE-SU-2017:3017-1

suse-cvrf

около 8 лет назад

Security update for shadowsocks-libev

GHSA-mvjw-f63r-3gxc

CVSS3: 7.8

github

больше 3 лет назад

EPSS

Процентиль: 63%

0.00451

Низкий

7.8 High

CVSS3

7.2 High

CVSS2