遠端 Debian 11 主機上安裝的多個套件受到 dsa-5360 公告中提及的多個弱點影響。

  - GNU Emacs 28.2 及其之前版本允許攻擊者透過原始程式碼檔案名稱中的 shell 元字元執行命令，這是因為 lib-src/etags.c 在其 etags 程式的實作中使用系統的 C 程式庫函式。例如，當前工作目錄中若有內容依賴未受信任的輸入，則受害者可以使用 etags -u * 命令 (在 etags 文件中建議)。(CVE-2022-48337)

  - 在 GNU Emacs 28.2 及之前版本中發現了一個問題。在 ruby-mode.el 中，ruby-find-library-file 函式有一個本機命令插入弱點。ruby-find-library-file 函式是互動函式，且系結至 C-c C-f。在函式內，透過 shell-command-to-string 呼叫外部命令 gem，但不會逸出功能名稱參數。因此，惡意的 Ruby 來源檔案可能會造成命令執行。(CVE-2022-48338)

  - 在 GNU Emacs 28.2 及之前版本中發現一個問題。htmlfontify.el 有一個命令插入弱點。
    在 hfy-istext-command 函式中，參數檔案和參數 srcdir 來自外部輸入，且參數不會逸出。如果檔案名稱或目錄名稱包含 shell 中繼字元，則可能會執行程式碼。(CVE-2022-48339)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DSA-5360-1：emacs - 安全性更新

critical Nessus Plugin ID 171900

版本 1.3