escapes()'函数远程堆缓冲区溢出漏洞

发布日期:2014-03-26
更新日期:2014-03-31

受影响系统:
pyyaml LibYAML < 0.1.6
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 66478
 CVE(CAN) ID: CVE-2014-2525
 
LibYAML是用C语言编写的YAML 1.1解析器和发射器。
 
LibYAML 0.1.6之前版本在"yaml_parser_scan_uri_escapes()"函数(src/scanner.c)内存在错误,恶意用户通过特制的yaml文件,利用此漏洞可造成堆缓冲区溢出。
 
<*来源:Ivan Fratric (ifsecure@gmail.com)
 
  链接:
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
pyyaml
 ------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

LibYAML:
 https://bitbucket.org/xi/libyaml/commits/bce8b60f0b9af69fa9fab3093d0a41ba243de048

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/b7aa86b3af5f46ef434b6e5dda510a7c.html