Shadowsocks es una librería que implementa socks5 de forma segura.
El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podría ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.
La vulnerabilidad tiene asignado el CVE-2017-15924.
El parche del fallo está publicado aquí.
Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
Más información:
DSA-4009-1 shadowsocks-libev -- security update
https://www.debian.org/security/2017/dsa-4009
Shadowsocks
https://shadowsocks.org/en/index.html
Shadowsocks
https://shadowsocks.org/en/index.html
No hay comentarios:
Publicar un comentario