PT-2020-9609 · Ksh+3 · Ksh+3

Marian Rehak

+2

·

Publicado

2019-12-13

·

Atualizado

2024-08-09

·

CVE-2019-14868

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
ksh versão 20120801
Descrição
Foi identificada uma falha na forma como o ksh avalia determinadas variáveis de ambiente, permitindo que um invasor anule ou contorne restrições de ambiente para executar comandos de shell. Serviços e aplicativos que permitem que invasores remotos não autenticados forneçam uma dessas variáveis de ambiente podem permitir que eles explorem essa vulnerabilidade remotamente.
Recomendações
Para a versão 20120801 do ksh, considere restringir o uso de variáveis de ambiente que possam ser exploradas por invasores remotos até que um patch esteja disponível. Como solução temporária, limite a capacidade de serviços e aplicativos de aceitar variáveis de ambiente de fontes não autenticadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77

Identificadores relacionados

CESA-2020_0515
CESA-2020_0559
CESA-2020_0568
CVE-2019-14868
DLA-2284-1
MGASA-2021-0141
OPENSUSE-SU-2024:14252-1
RHSA-2020:0431
RHSA-2020:0515
RHSA-2020:0559
RHSA-2020:0568
RHSA-2020:1332
RHSA-2020:1333
RHSA-2020:2210
RHSA-2020:5351
RHSA-2020:5352
RHSA-2020_0515
RHSA-2020_0559
RHSA-2020_0568
SUSE-SU-2024:2756-1
SUSE-SU-2024_2756-1

Produtos afetados

Centos
Red Hat
Suse
Ksh