Vulnérabilité dans GNU Screen

Date de publication : 29/09/2022

CVE-2021-26937 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte au sein du fichier encoding.c dans GNU Screen. Son exploitation peut permettre à un attaquant distant et non-authentifié de provoquer un déni de service (accès en écriture non valide et plantage de l'application) ou éventuellement d'avoir un autre impact non spécifié via une séquence de caractères UTF-8 élaborée.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service
Violation des politiques de sécurité

Criticité

Score CVSS v3 : 9.8

Existence d’un code d’exploitation

Un exemple de cas de crash est disponible dans le lien en référence de ce bulletin.

Composants vulnérables

Les versions de GNU Screen de 3.6.0 à 4.8.0 sont impactées par cette vulnérabilité.

CVE

CVE-2021-26937

Solutions ou recommandations

Mise en place de correctifs de sécurité

Un correctif de sécurité sera disponible lors de la prochaine mise à jour de GNU Screen. Il est recommandé d’installer la mise à jour dès sa sortie.

Solution de contournement

Aucune solution de contournement n’est disponible à l’heure actuelle.

Liens

[screen-devel] [bug #60030] Screen segfaults by displaying some UTF-8 ch