Informazioni sulla sicurezza / 2022 / Informazioni sulla sicurezza -- DSA-5078-1 zsh

Bacheca Debian sulla sicurezza

DSA-5078-1 zsh -- aggiornamento di sicurezza

Data della segnalazione:

16 feb 2022

Pacchetti coinvolti:

zsh

Vulnerabile:

Sì

Referenze all'interno del database della sicurezza:

Nel dizionario CVE di Mitre: CVE-2021-45444.

Maggiori informazioni:

È stato scoperto che zsh, una shell e linguaggio di script potente, non bloccava l'espansione ricorsiva nel prompt. Questo permetterebbe ad un attaccante di eseguire comandi arbitrari nella shell utente, ad esempio spingendo un utente vcs_info a fare il checkout di un ramo git con un nome fatto apposta.

Per la vecchia distribuzione stabile (buster), questo problema è stato risolto nella versione 5.7.1-1+deb10u1.

Per la distribuzione stabile (bullseye), questo problema è stato risolto nella versione 5.8-6+deb11u1.

Raccomandiamo di aggiornare i propri pacchetti zsh.

Per lo stato dettagliato della sicurezza di zsh, fare riferimento a: https://security-tracker.debian.org/tracker/zsh