International Components for Unicode libicu堆缓冲区溢出漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1187835 漏洞类型 资源管理错误
发布时间 2008-01-28 更新时间 2009-02-26
CVE编号 CVE-2007-4771 CNNVD-ID CNNVD-200801-406
漏洞平台 N/A CVSS评分 9.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200801-406
|漏洞详情
Unicode国际组件(ICU)是一个C/C++和Java函数库,可为软件应用提供Unicode和全球化支持。ICU在处理畸形的正则表达式时存在堆溢出漏洞,本地攻击者可能利用此漏洞导致采用了ICU库的应用崩溃。ICU库regexcmp.cpp文件976行的doInterval函数没有检查确保上层interval不是-1,如果用户提交了恶意的正则表达式的话就可能触发堆溢出;
|参考资料

来源:BID
名称:27455
链接:http://www.securityfocus.com/bid/27455
来源:MLIST
名称:[icu-support]20080122ICUPatchFORbugsINRegularExpressions
链接:http://sourceforge.net/mailarchive/message.php?msg_name=d03a2ffb0801221538x68825e42xb4a4aaf0fcccecbd%40mail.gmail.com
来源:FEDORA
名称:FEDORA-2008-1076
链接:https://www.redhat.com/archives/fedora-package-announce/2008-January/msg00921.html
来源:FEDORA
名称:FEDORA-2008-1036
链接:https://www.redhat.com/archives/fedora-package-announce/2008-January/msg00896.html
来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=429025
来源:XF
名称:libicu-dointerval-bo(39936)
链接:http://xforce.iss.net/xforce/xfdb/39936
来源:MANDRIVA
名称:MDVSA-2008:026
链接:http://www.mandriva.com/SECURITY/advisories?NAME=MDVSA-2008:026
来源:VUPEN
名称:ADV-2008-0282
链接:http://www.frsirt.com/english/advisories/2008/0282
来源:SECTRACK
名称:1019269
链接:http://securitytracker.com/id?1019269
来源:GENTOO
名称:GLSA-200805-16
链接:http://security.gentoo.org/glsa/glsa-200805-16.xml
来源:SECUNIA
名称:30179
链接:http://secunia.c