漏洞标题
N/A
漏洞描述信息
在Homebrew brew版本4.2.20之前,os/linux/elf.rb利用ldd加载来自不可信来源的ELF文件,这允许攻击者通过具有自定义.interp节的ELF文件实现代码执行。请注意,这种代码执行发生在未受沙箱保护的二进制文件重定位阶段,该阶段发生在用户期望下载的包内容执行之前。 (测试的易受攻击版本为237d1e783f7ee261beaba7d3f6bde22da7148b0a。)
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
对搜索路径元素未加控制
漏洞标题
N/A
漏洞描述信息
os/linux/elf.rb in Homebrew brew before 4.2.20 uses ldd to load ELF files obtained from untrusted sources, which allows attackers to achieve code execution via an ELF file with a custom .interp section. NOTE: this code execution would occur during an un-sandboxed binary relocation phase, which occurs before a user would expect execution of downloaded package content. (237d1e783f7ee261beaba7d3f6bde22da7148b0a was the tested vulnerable version.)
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Homebrew 安全漏洞
漏洞描述信息
Homebrew是Homebrew开源的一个包管理器。 Homebrew 4.2.20之前版本存在安全漏洞,该漏洞源于 os/linux/elf.rb 使用 ldd 加载从不受信任的来源获得的 ELF 文件。攻击者可以通过带有自定义 .interp 部分的 ELF 文件实现代码执行。
CVSS信息
N/A
漏洞类别
其他