• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Внедрение команд

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
OpenSSL (1.0.2, 1.0.2zf, 1.1.1, 1.1.1p, 3.0.0, 3.0.4)
Описание
Внедрение команд в сценарии c_rehash, связанное с некорректной обработкой (очисткой) метасимволов оболочки, позволяет злоумышленникам выполнить произвольные команды с привилегиями сценария. Сценарий передает хешируемые имена сертификатов команде, выполняемой в оболочке. В некоторых операционных системах данный сценарий распространяется и выполняется автоматически. Использование сценария c_rehash считается устаревшим, поэтому необходимо заменить его инструментом командной строки OpenSSL rehash.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssl.org/
Ссылки