Schwachstelle in PCRE verursacht Pufferüberlauf

In der Perl 5 Compatible Regular Expression Library (PCRE) ist eine Schwachstelle aufgetaucht. Die Textverarbeitungsbibliothek wird u.a. in glibc, PHP, Apache, Postfix, Exim4 und KDE eingesetzt. Ein Übersetzungsfehler von mehrfach verzweigten Suchausdrücken (Regular Expressions) in Bytecode kann eventuell einen Pufferüberlauf auf dem Heap und dadurch einen Absturz verursachen. Angreifer können den Fehler aber auch nutzen, um bei Programmen, die die Bibliothek einsetzen Schadcode einzuschleusen und auszuführen. Damit sich die Schwachstelle ausnutzen läßt, muss die angegriffene Anwendung allerdings Regular Expressions aus Nutzereingaben zusammenstellen. Entdeckt wurde der Fehler in PCRE 7.7, betrifft aber wahrscheinlich auch vorherige Versionen. Bislang ist kein offizielles Update verfügbar.

0 Kommentar(e)

Zum Posten von Kommentaren bitte