S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 novembre 2007
N° CERTA-2007-AVI-479
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de GNU Emacs

Gestion du document

Référence CERTA-2007-AVI-479
Titre Vulnérabilité de GNU Emacs
Date de la première version06 novembre 2007
Date de la dernière version06 novembre 2007
Source(s) Rapport d'erreur Debian 449008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

GNU Emacs, versions 22.x.

Résumé

Une erreur dans le traitement de certains fichiers permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Une erreur de traitement dans la fonction hack-local-variables est exploitable par un utilisateur malveillant pour modifier le fichier user-init-file d'un utilisateur et ensuite exécuter du code Lisp pour Emacs.

La vulnérabilité n'est exploitable que si le paramètre enable-local-variables est positionné à :safe.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 novembre 2007
    version initiale.