Lücke in PCRE-Bibliothek ermöglichte Codeschmuggel
Eine Schwachstelle in der quelloffenen Bibliothek, die unter anderem bei Apache, PHP, Postfix, KDE und Exim zum Einsatz kommt, wurde behoben.
In der aktuellen Version der quelloffenen Perl-Compatible-Regular-Expressions-Bibliothek (PCRE) ist eine Schwachstelle behoben, die Angreifer zum Einschleusen von Schadcode ausnutzen konnten. Mehrere OpenSource-Projekte wie Apache, PHP, Postfix, KDE und Exim nutzen die PCRE-Bibliothek.
Laut Changelog der PCRE-Entwickler konnten Codepoints mit Werten größer als 255 in der UTF8-Kodierung zu Pufferüberläufen führen. Codepoints repräsentieren Zeichen mit Integer-Zahlen innerhalb des Coderaums eines Zeichensatzes.
Der Fehler betrifft Versionen der PCRE-Bibliothek vor der aktuellen Fassung 7.6. Von Mandrake gibt es bereits aktualisierte Pakete. Die anderen Linux-Distributoren dürften in Kürze folgen. Anwender sollten das Update einspielen, sobald es verfügbar ist.
Siehe dazu auch:
- Changelog zur Version 7.6 der PCRE-Bibliothek
(dmk)
