CVE-2017-0898: Pufferunterlauf in Kernel.sprintf
Geschrieben von usa am 14.9.2017
Übersetzt von Marvin Gülker
Es gibt ein Sicherheitsproblem mit einem Pufferunterlauf in der
Methode sprintf des Kernel-Moduls. Der Sicherheitslücke wurde die
CVE-Nummer
CVE-2017-0898
zugewiesen.
Details
Wenn ein böswilliger Format-String den Spezifizierer * enthält und
ihm dabei ein sehr großer negativer Wert übergeben wird, kann es zu
einem Pufferunterlauf kommen. Dies kann dazu führen, dass der
Rückgabewert Teile des Heaps enthält oder der Ruby-Interpreter
abstürzt.
Alle Nutzer einer betroffenen Version sollten umgehend aktualisieren.
Betroffene Versionen
- 2.2er Serie: 2.2.7 und früher
- 2.3er Serie: 2.3.4 und früher
- 2.4er Serie: 2.4.1 und früher
- Trunk vor Revision 58453
Danksagung
Dank an aerodudrizzt für die Meldung des Problems.
History
- Erstmals veröffentlicht am 2017-09-14 12:00:00 (UTC)
Aktuelle Neuigkeiten
Ruby 3.4.2 veröffentlicht
Ruby 3.4.2 wurde veröffentlicht.
Geschrieben von k0kubun am 14.2.2025
Ruby 3.2.7 veröffentlicht
Ruby 3.2.7 wurde veröffentlicht.
Geschrieben von nagachika am 4.2.2025
Ruby 3.3.7 veröffentlicht
Ruby 3.3.7 wurde veröffentlicht.
Geschrieben von k0kubun am 15.1.2025
Ruby 3.4.0 veröffentlicht
Wir freuen uns, die Veröffentlichung von Ruby 3.4.0 bekannt zu geben. Ruby 3.4 führt den it-Blockparameter ein, ändert Prism zum Standardparser, bietet Happy Eyeballs Version...
Geschrieben von naruse am 25.12.2024