Información sobre seguridad / 2017 / Información sobre seguridad -- DSA-4009-1 shadowsocks-libev

Aviso de seguridad de Debian

DSA-4009-1 shadowsocks-libev -- actualización de seguridad

Fecha del informe:

29 de oct de 2017

Paquetes afectados:

shadowsocks-libev

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2017-15924.

Información adicional:

Niklas Abel descubrió que un saneado insuficiente de la entrada en el componente ss-manager de shadowsocks-libev, un proxy socks5 ligero, podría dar lugar a ejecución de órdenes arbitrarias de intérprete de órdenes («shell»).

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.6.3+ds-3+deb9u1.

Le recomendamos que actualice los paquetes de shadowsocks-libev.