漏洞信息详情

International Components for Unicode libicu内存破坏漏洞

• CNNVD编号：CNNVD-200801-405
• 危害等级： 低危
  
• CVE编号： CVE-2007-4770
• 漏洞类型： 资源管理错误
• 发布时间： 2008-01-28
• 威胁类型： 远程
• 更新时间： 2009-02-26
• 厂        商： icu-project
• 漏洞来源： Will Drewry※ wad@g...

漏洞简介

Unicode国际组件(ICU)是一个C/C++和Java函数库，可为软件应用提供Unicode和全球化支持。

ICU在处理畸形的正则表达式时存在堆溢出漏洞，在正则表达式编译中，非法的反引用可能会引用不存在的捕获组0，导致在之后使用了被破坏的REStackFrames，在读写操作时会出现崩溃。

漏洞公告

厂商补丁：

RedHat

------

RedHat已经为此发布了一个安全公告(RHSA-2008:0090-01)以及相应补丁:

RHSA-2008:0090-01：Important: icu security update

链接：>https://www.redhat.com/support/errata/RHSA-2008-0090.HTML

ICU Project

-----------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://source.icu-project.org/repos/icu/icu/branches/maint/maint-3-8

参考网址

来源:BID 名称:27455 链接:http://www.securityfocus.com/bid/27455 来源:MLIST 名称: [icu-support] 20080122 ICU Patch for bugs in Regular Expressions 链接:http://sourceforge.net/mailarchive/message.php?msg_name=d03a2ffb0801221538x68825e42xb4a4aaf0fcccecbd%40mail.gmail.com 来源:SECUNIA 名称:28575 链接:http://secunia.com/advisories/28575 来源:FEDORA 名称:FEDORA-2008-1076 链接:https://www.redhat.com/archives/fedora-package-announce/2008-January/msg00921.HTML 来源:FEDORA 名称:FEDORA-2008-1036 链接:https://www.redhat.com/archives/fedora-package-announce/2008-January/msg00896.HTML 来源:bugzilla.redhat.com 链接:https://bugzilla.redhat.com/show_bug.cgi?id=429023 来源:XF 名称:libicu-restackframes-dos(39938) 链接:http://xforce.iss.net/xforce/xfdb/39938 来源:MANDRIVA 名称:MDVSA-2008:026 链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:026 来源: VUPEN 名称:ADV-2008-0282 Type: Advisory 链接:http://www.frsirt.com/english/advisories/2008/0282 来源: SECTRACK 名称:1019269 链接:http://securitytracker.com/id?1019269 来源: GENTOO 名称:GLSA-200805-16 链接:http://security.gentoo.org/glsa/glsa-200805-16.xml 来源: SECUNIA 名称:30179 链接:http://secunia.com/advisories/30179 来源: SECUNIA 名称:28669 链接:http://secunia.com/advisories/28669 来源: SECUNIA 名称:28615 链接:http://secunia.com/advisories/28615 来源: REDHAT 名称:RHSA-2008:0090 链接:http://rhn.redhat.com/errata/RHSA-2008-0090.HTML 来源: issues.rpath.com 链接:https://issues.rpath.com/browse/RPL-2199 来源: UBUNTU 名称:USN-591-1 链接:http://www.ubuntu.com/usn/usn-591-1 来源: BUGTRAQ 名称:20080206 rPSA-2008-0043-1 icu 链接:http://www.securityfocus.com/archive/1/archive/1/487677/100/0/threaded 来源: www.openoffice.org 链接:http://www.openoffice.org/security/cves/CVE-2007-5745.HTML 来源: www.openoffice.org 链接:http://www.openoffice.org/security/cves/CVE-2007-4770.HTML 来源: SUSE 名称:SUSE-SA:2008:023 链接:http://www.novell.com/linux/security/advisories/2008_23_openoffice.HTML 来源: VUPEN 名称:ADV-2008-1375 链接:http://www.frsirt.com/english/advisories/2008/1375/references 来源: VUPEN 名称:ADV-2008-0807 链接:http://www.frsirt.com/english/advisories/2008/0807/references 来源: DEBIAN 名称:DSA-1511 链接:http://www.debian.org/security/2008/dsa-1511 来源: wiki.rpath.com 链接:http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0043 来源: SUNALERT 名称:233922 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-233922-1 来源: SUNALERT 名称:231641 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-231641-1 来源: GENTOO 名称:GLSA-200803-20 链接:http://security.gentoo.org/glsa/glsa-200803-20.xml 来源: SECUNIA 名称:29987 链接:http://secunia.com/advisories/29987 来源: SECUNIA 名称:29910 链接:http://secunia.com/advisories/29910 来源: SECUNIA 名称:29852 链接:http://secunia.com/advisories/29852 来源: SECUNIA 名称:29333 链接:http://secunia.com/advisories/29333 来源: SECUNIA 名称:29294 链接:http://secunia.com/advisories/29294 来源: SECUNIA 名称:29291 链接:http://secunia.com/advisories/29291 来源: SECUNIA 链接:http://secunia.com/advisories/29242 来源: SECUNIA 名称:29194 链接:http://secunia.com/advisories/29194 来源: SECUNIA 名称:28783 链接:http://secunia.com/advisories/28783 来源: SUSE 名称:SUSE-SR:2008:005 链接:http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00001.HTML

受影响实体

• Icu-Project International_components_for_unicode:3.8.1:~~~C%2fc%2b%2b~~  

补丁

暂无