|
 |
|
PCRE mehrere Sicherheitslücken
|
|
|
|
|
Secunia Advisory:
|
SA27543
|
|
|
Herausgegeben:
|
2007-11-06
|
|
|
Gefahrenstufe:
|
Mittelgradig kritisch
|
|
Auswirkung:
|
Enthüllung von sensiblen Informationen
DoS
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | PCRE 6.x
PCRE 7.x
|
| | CVE reference: | CVE-2007-1659 (Secunia mirror)
CVE-2007-1660 (Secunia mirror)
CVE-2007-1661 (Secunia mirror)
CVE-2007-1662 (Secunia mirror)
CVE-2007-4766 (Secunia mirror)
CVE-2007-4767 (Secunia mirror)
CVE-2007-4768 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Einige Sicherheitslücken wurden in PCRE gemeldet, die böswillige Personen ausnutzen können, um einen DoS (Denial of Service) zu verursachen, sensible Informationen zu enthüllen oder potenziell eine Anwendung zu kompromittieren, welche diese Bibliothek verwendet.
1) Ein Fehler existiert in der Verarbeitung von "\Q\E"-Sequenzen mit verwaisten "\E"-Codes. Dies kann ausgenutzt werden, um den kompilierten regulären Ausdruck zu desynchronisieren und korrupten Bytecode auszuführen.
2) Ein Fehler in der Verarbeitung von mehreren unspezifizierten Zeichenklassen kann ausgenutzt werden, um die Allozierung von unzureichendem Speicher zu verursachen.
3) Ein Fehler existiert in der Verarbeitung von mehreren "\X?\d"- und "\P{L}?\d"-Schemata in einem Nicht-UTF-8-Modus. Dies kann ausgenutzt werden, um eine betroffene Anwendung zum Absturz zu bringen oder geschützten Speicher zu enthüllen.
4) Ein Fehler existiert in mehreren unspezifizierten Routinen bei der Suche nach nicht geschlossenen Klammern oder Anführungen. Dies kann durch eine speziell präparierte Zeichenkette ausgenutzt werden, um eine betroffene Anwendung zum Absturz zu bringen.
5) Einige Integer-Überlauffehler bei der Verarbeitung von Escapesequenzen können ausgenutzt werden, um eine betroffene Anwendung zum Absturz zu bringen oder potenziell Heap-basierte Pufferüberläufe zu verursachen.
6) Einige Fehler existieren in der Verarbeitung von "\P"- und "\P{x}"-Sequenzen. Dies kann ausgenutzt werden, um Heap-basierte Pufferüberläufe oder Endlosschleifen zu verursachen.
7) Ein Fehler in der Optimierung von Zeichenklassen mit einer einzelnen Unicode-Sequenz können ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen.
Die Sicherheitslücken sind in Versionen vor 7.3 gemeldet.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, scan using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf Version 7.3 oder höher.
Gemeldet und/oder entdeckt von:
Debian nennt Tavis Ormandy, Google Security Team
Original Advisory:
http://lists.debian.org/debian-securi...-security-announce-2007/msg00177.html
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
2 Related Secunia Security Advisories
|
|
|
1. PCRE Zeichenklasse Pufferüberlauf
|
|
2. PCRE Regex-Parsing Mehrere Sicherheitslücken
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
