Schwachstelle in populärer Regular-Expression-Bibliothek
Mehrere Open-Source-Projekte wie Apache, PHP, KDE, Postfix und Exim sind eventuell von einer kritischen SicherheitslĂĽcke betroffen. Ursache des Problems ist eine Bibliothek, die Funktionen fĂĽr Pattern-Matching bietet.
Mehrere Open-Source-Projekte wie Apache, PHP, KDE, Postfix und Exim sind eventuell von einer kritischen Sicherheitslücke betroffen. Ursache des Problems ist eine Bibliothek, die Funktionen für Pattern-Matching bietet und zu der leistungsfähigen Syntax regulärer Ausdrücke in Perl 5 kompatibel ist. Die PCRE (Perl Compatible Regular Expressions) bezeichnete Bibliothek ignoriert beim Kopieren von Nutzereingaben in einen internen Buffer dessen Größe. Dies könnte ein Angreifer ausnutzen, um mit bestimmten regulären Ausdrücken eigenen Code auf den Stack zu kopieren und auszuführen.
PCRE ist im Lieferumfang der genannten Projekte enthalten. Wie genau und ob sich die Schwachstelle ausnutzen lässt, hängt davon ab, wie die jeweilige Applikation PCRE einsetzt. Betroffen ist auf jeden Fall PCRE bis einschließlich 6.1. Ab 6.2 ist der Fehler behoben -- verfügbar ist bereits Version 6.3. Es ist zu erwarten, dass die anderen Projekte in Kürze gegebenenfalls eigene Advisorys und Updates herausgeben, um den Fehler auszumerzen.
Siehe dazu auch: (dab)
- PCRE Heap Overflow May Let Users Execute Arbitrary Code, Fehlerreport auf Securitytracker
- Reguläre Ausdrücke Funktionen (Perl-kompatibel), Beschreibung auf php.net
- KDE 3.4 Compilation Requirements, Beschreibung auf kde.org
