漏洞信息详情

Oniguruma 缓冲区错误漏洞

• CNNVD编号：CNNVD-201705-1196
• 危害等级： 超危
  
• CVE编号： CVE-2017-9228
• 漏洞类型： 缓冲区错误
• 发布时间： 2017-05-25
• 威胁类型： 远程
• 更新时间： 2022-07-21
• 厂        商： ruby-lang
• 漏洞来源：

漏洞简介

Oniguruma是一款开源的正则表达式库。

Oniguruma 6.2.0版本存在安全漏洞。该漏洞源于在 Ruby 中的 Oniguruma-mod 到 2.4.1 和 PHP 中的 mbstring 到 7.1.5 中使用。 由于来自不正确状态转换的未初始化变量，在正则表达式编译期间，bitset_set_range() 中发生堆越界写入。 parse_char_class() 中不正确的状态转换可能会创建一个执行路径，导致关键局部变量在用作索引之前未初始化，从而导致越界写入内存损坏。攻击者可利用该漏洞造成越边界写入。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/kkos/oniguruma/commit/3b63d12038c8d8fc278e81c942fa9bec7c704c8b

参考网址

来源:CONFIRM

链接:https://github.com/kkos/oniguruma/commit/3b63d12038c8d8fc278e81c942fa9bec7c704c8b

来源:REDHAT

链接:https://access.redhat.com/errata/RHSA-2018:1296

来源:CONFIRM

链接:https://github.com/kkos/oniguruma/issues/60

受影响实体

• Ruby-Lang Ruby:2.4.1:~~~Oniguruma-Mod~~  

补丁

• Oniguruma 安全漏洞的修复措施