CVE-2024-47611
Czym jest CVE-2024-47611?
XZ Utils udostępnia bibliotekę kompresji danych ogólnego przeznaczenia oraz narzędzia wiersza poleceń. W przypadku zbudowania dla natywnego systemu Windows (MinGW-w64 lub MSVC) narzędzia wiersza poleceń z XZ Utils 5.6.2 i starszych mają lukę w zabezpieczeniach polegającą na wstrzykiwaniu argumentów z wiersza poleceń. Jeśli wiersz poleceń zawiera znaki Unicode (na przykład nazwy plików), które nie istnieją w bieżącej starszej stronie kodowej, znaki te są konwertowane na podobnie wyglądające znaki z najlepiej dopasowanym mapowaniem. Niektóre najlepiej dopasowane mapowania skutkują znakami ASCII, które zmieniają znaczenie wiersza poleceń, co można wykorzystać ze złośliwymi nazwami plików do wykonania argumentu
Urządzenia, których dotyczy
FAQ
CVE-2024-47611 ma wynik CVSS N/D/10, oceniony jako Nieznany. Przejrzyj listę produktów, których dotyczy problem, i zastosuj poprawki dostawcy.
CVSS (Common Vulnerability Scoring System) ocenia powagę podatności od 0,0 do 10,0. CVE-2024-47611 uzyskuje N/D/10 (Nieznany). Wyniki od 9,0–10,0 są Krytyczne, 7,0–8,9 Wysokie, 4,0–6,9 Średnie i poniżej 4,0 Niskie.
Lista urządzeń potwierdzonych jako dotknięte przez CVE-2024-47611 jest pokazana w sekcji "Dotknięte urządzenia" powyżej. Porównaj swoją wersję firmware z poradnikiem bezpieczeństwa dostawcy i zastosuj najnowszą łatkę.
Zastosuj najnowszą aktualizację firmware lub oprogramowania od dostawcy. Sprawdź sekcję Referencje powyżej, aby uzyskać oficjalne porady i notatki dotyczące poprawek. Jeśli żadna łatka nie jest dostępna, rozważ wyłączenie dotkniętej funkcji lub izolację urządzenia od niezaufanych sieci.