发布日期:2014-03-26
更新日期:2014-03-31
受影响系统:
pyyaml LibYAML < 0.1.6
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 66478
CVE(CAN) ID: CVE-2014-2525
LibYAML是用C语言编写的YAML 1.1解析器和发射器。
LibYAML 0.1.6之前版本在"yaml_parser_scan_uri_escapes()"函数(src/scanner.c)内存在错误,恶意用户通过特制的yaml文件,利用此漏洞可造成堆缓冲区溢出。
<*来源:Ivan Fratric (ifsecure@gmail.com)
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
pyyaml
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
LibYAML:
https://bitbucket.org/xi/libyaml/commits/bce8b60f0b9af69fa9fab3093d0a41ba243de048