网站首页 | 大学首页
当前位置: 首页>>漏洞公告>>正文
关于PCRE产品拒绝服务漏洞的信息通报
2016-04-01 10:10  

 

近日,国家信息安全漏洞共享平台(CNVD)收录了PCREPCRE2 compile_branch’函数拒绝服务漏洞(CNVD-2016- 01751,对应CVE-2016-3191)。攻击者利用该漏洞可使应用程序崩溃或执行任意代码,构成拒绝服务攻击或导致敏感信息泄露。

 

一、危害级别

 

   (AV:N/AC:L/Au:N/C:P/I:P/A:P)  

 

二、影响产品

 

PCREPCRE2

 

三、漏洞描述

 

PCRE是一个使用C语言编写的开源正则表达式函数库,PCRE2是一个用于修改PCREAPI

 

PCREPCRE2的‘compile_branch’函数未能正确处理包含‘(*ACCEPT)’子串和嵌套括号的正则表达式。远程攻击者提交特制的正则表达式使应用程序崩溃或执行任意代码。

 

四、漏洞解决方案

 

用户可参考如下厂商提供的安全补丁以修复该漏洞:

 

http://vcs.pcre.org/pcre/code/trunk/ChangeLog?view=markup&pathrev=1631

 

http://vcs.pcre.org/pcre2/code/trunk/ChangeLog?view=markup&pathrev=489

 

五、参考链接

 

https://bugs.debian.org/815920

 

关闭窗口

© 2013 GDUFS |Tel:36207209 | 网站维护: 教育技术中心