漏洞信息详情

Oniguruma 缓冲区错误漏洞

• CNNVD编号：CNNVD-201705-1199
• 危害等级： 超危
  
• CVE编号： CVE-2017-9225
• 漏洞类型： 缓冲区错误
• 发布时间： 2017-05-25
• 威胁类型： 远程
• 更新时间： 2022-07-01
• 厂        商： oniguruma_project
• 漏洞来源：

漏洞简介

Oniguruma是一款开源的正则表达式库。

Oniguruma 6.2.0存在缓冲区错误漏洞。该漏洞源于在 Ruby 中的 Oniguruma-mod 到 2.4.1 和 PHP 中的 mbstring 到 7.1.5 中使用。 在正则表达式编译期间，在 next_state_val() 中发生堆越界写入或读取。 大于 0xff 的八进制数在 fetch_token() 和 fetch_token_in_cc() 中无法正确处理。 包含 \'\'700\'\' 形式的八进制数的格式错误的正则表达式将在 next_state_val() 中生成大于 0xff 的无效代码点值，从而导致越界写入内存损坏。攻击者可利用该漏洞造成拒绝服务（栈越边界写入）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/kkos/oniguruma/commit/166a6c3999bf06b4de0ab4ce6b088a468cc4029f

参考网址

来源:CONFIRM

链接:https://github.com/kkos/oniguruma/commit/166a6c3999bf06b4de0ab4ce6b088a468cc4029f

来源:CONFIRM

链接:https://github.com/kkos/oniguruma/issues/56

受影响实体

• Oniguruma_project Oniguruma:6.2.0  

补丁

• Oniguruma 缓冲区错误漏洞的修复措施