阿里云漏洞库

漏洞描述

Emacs是一款可扩展的实时显示编辑器。EDE存在缺陷，EDE在项目目录树中用Project.ede存储项目的各种信息，如如何构建项目。当启用minor模式'global-ede-mode'时，访问一个文件可导致Emacs在文件目录或它其中一个父目录中查找Project.ede，如果存在此文件，Emacs会自动读取并对第一个List表达式求值。诱使用户在包含EDE项目的目录中打开文件可导致执行任意LISP代码。

解决建议

GNU Emacs 23.4已经修复此漏洞，建议用户下载使用：http://www.gnu.org/software/emacs/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2012-January/072285.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-January/072288.html
http://lists.gnu.org/archive/html/emacs-devel/2012-01/msg00387.html
http://openwall.com/lists/oss-security/2012/01/10/2
http://openwall.com/lists/oss-security/2012/01/10/4
http://secunia.com/advisories/47311
http://secunia.com/advisories/47515
http://secunia.com/advisories/50801
http://sourceforge.net/mailarchive/message.php?msg_id=28649762
http://sourceforge.net/mailarchive/message.php?msg_id=28657612
http://www.mandriva.com/security/advisories?name=MDVSA-2013:076
http://www.ubuntu.com/usn/USN-1586-1
https://security.gentoo.org/glsa/201812-05

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	eric_m_ludlam	cedet	*		Up to (including) 1.0
	运行在以下环境
	应用	eric_m_ludlam	cedet	1.0	-
	运行在以下环境
	应用	gnu	emacs	*		Up to (including) 23.3
	运行在以下环境
	应用	gnu	emacs	20.0	-
	运行在以下环境
	应用	gnu	emacs	20.1	-
	运行在以下环境
	应用	gnu	emacs	20.2	-
	运行在以下环境
	应用	gnu	emacs	20.3	-
	运行在以下环境
	应用	gnu	emacs	20.4	-
	运行在以下环境
	应用	gnu	emacs	20.5	-
	运行在以下环境
	应用	gnu	emacs	20.6	-
	运行在以下环境
	应用	gnu	emacs	20.7	-
	运行在以下环境
	应用	gnu	emacs	21	-
	运行在以下环境
	应用	gnu	emacs	21.1	-
	运行在以下环境
	应用	gnu	emacs	21.2	-
	运行在以下环境
	应用	gnu	emacs	21.2.1	-
	运行在以下环境
	应用	gnu	emacs	21.3	-
	运行在以下环境
	应用	gnu	emacs	21.3.1	-
	运行在以下环境
	应用	gnu	emacs	21.4	-
	运行在以下环境
	应用	gnu	emacs	22.1	-
	运行在以下环境
	应用	gnu	emacs	22.2	-
	运行在以下环境
	应用	gnu	emacs	22.3	-
	运行在以下环境
	应用	gnu	emacs	23.1	-
	运行在以下环境
	应用	gnu	emacs	23.2	-
	运行在以下环境
	应用	gnu	emacs	23.4	-
	运行在以下环境
	系统	suse_12	emacs	*		Up to (excluding) 24.3-14
	运行在以下环境
	系统	ubuntu_12.04.5_lts	emacs23	*		Up to (excluding) 23.3+1-1ubuntu9.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-Other

中危 GNU Emacs up to 23.4 拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况