Cabecera-v2-web.jpg

Ejecución arbitraria de comandos en ShadowSocks


El investigador de seguridad, Niklas Abel, ha descubierto un problema de seguridad en la librerí­a shadowsocks que podrí­a resultar en una ejecución de comandos del shell arbitrarios.

Shadowsocks es una librerí­a que implementa socks5 de forma segura.

El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podrí­a ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.

La vulnerabilidad tiene asignado el CVE-2017-15924.

El parche del fallo está publicado aquí­.

Recomendamos que actualice sus paquetes y/o librerí­as para solventar esta vulnerabilidad.


Fuente: hispasec.com



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11