|
 |
|
PCRE flere sårbarheder
|
|
|
|
|
Secunia Advisory:
|
SA27543
|
|
|
Udsendt:
|
2007-11-06
|
|
Sidste Opdt.:
|
2007-11-07
|
|
|
Kritisk:
|
Moderat kritisk
|
|
Betydning:
|
Afsløring af følsomme oplysninger
DoS
Systemadgang
|
|
Hvor:
|
Fra Internet
|
|
Løsning Status:
|
Producent Patch
|
|
| Software: | PCRE 6.x
PCRE 7.x
|
| | CVE reference: | CVE-2007-1659 (Secunia mirror)
CVE-2007-1660 (Secunia mirror)
CVE-2007-1661 (Secunia mirror)
CVE-2007-1662 (Secunia mirror)
CVE-2007-4766 (Secunia mirror)
CVE-2007-4767 (Secunia mirror)
CVE-2007-4768 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beskrivelse:
Der er rapporteret nogle sårbarheder i PCRE, som kan udnyttes af ondsindede personer til at udføre DoS (Denial of Service), få kendskab til følsom information eller potentielt kompromittere et sårbart system.
1) En fejl under håndteringen af "\Q\E" sekvenser med orphan "\E" koder kan udnyttes til at desynkronisere det kompilerede "regular expression" og eksekvere korrumperet bytecode.
2) En fejl under håndteringen af flere uspecificerede "character classes" kan udnyttes til at allokere utilstrækkelig hukommelse.
3) En fejl under håndteringen af flere "\X?\d" og "\P{L}?\d" sekvenser i non-UTF-8 mode kan udnyttes til at crashe en proces eller få kendskab til indhold i hukommelsen.
4) En fejl i flere uspecificerede rutiner ved søgninger for unmatched brackets og paranteser kan udnyttes til at crashe en applikation.
5) Flere heltals-overflows under håndteringen af escape-sekvenser kan udnyttes til at crashe applikationen eller potentielt forårsage heap-baserede buffer overflows.
6) Fejl under håndteringen af "\P" og "\P{x}" sekvenser kan udnyttes til at forårsage heap-baserede buffer overflows eller uendelige løkker.
7) En fejl i optimiseringen af "character classes" indeholdende en enkelt unicode-sekvens kan udnyttes til at forårsage et heap-baseret buffer overflow.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, scan using the Network Software Inspector.
Løsning:
Opdatér til version 7.3 eller nyere.
Rapporteret af / Kredit:
Debian krediterer Tavis Ormandy, Google Security Team
Original Advisory:
http://lists.debian.org/debian-securi...-security-announce-2007/msg00177.html
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
2 Relaterede Secunia Advisories
|
|
|
1. PCRE regex-fortolkning flere sårbarheder
|
|
2. PCRE quantifier værdier heltals-overflow
|
|
|
Send Feedback to Secunia
|
|
Hvis du har ny information angående dette Secunia advisory eller et produkt i vores database, så send det venligst til os. Du kan sende det til os enten ved at bruge vores web formular eller ved at sende det til vuln@secunia.com.
Ideer, foreslag og andet feedback er også meget velkommen.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
