openSUSE セキュリティ更新:pcre2(openSUSE-2016-966)

critical Nessus プラグイン ID 92974

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

pcre2 のこの更新により、以下の問題が修正されます。

- pcre2 10.22:

- POSIX ラッパー関数である regcomp() は、REG_NOSUB オプションで呼び出した場合、後方参照とサブルーチン呼び出しをサポートしていませんでした。現在はサポートしています。

- 新しい関数、pcre2_code_copy() が追加され、コンパイルされたパターンのコピーを作成します。

- 文字列呼び出しのサポートが pcre2grep に追加されました。

- PCRE2_NO_JIT オプションを pcre2_match() に追加しました。

- pcre2_get_error_message() 関数が、渡されたエラー番号が不明な場合、負のエラーコードを返すようになりました。

- pcre2test およびテストスクリプトにいくつかの更新が実施されました。

- CVE-2016-3191:深くネストした丸括弧がある(*ACCEPT)の workspace オーバーフローを修正(boo#971741)

- 新しい Upstream リリース 10.21 への更新

- + または * で始まるパターンの JIT マッチング速度を強化。

- インタープリターの 8 ビットモードでの非アンカーマッチで、memchr() を使って最初の文字を検索。これによって速度が大幅に改善します。

- 10.20 が [[:>:]] および [[:<:]] の処理を中断しました。これらの処理によって、次の文字が左丸括弧である場合に、バッファオーバーフローが引き起こされる可能性があります。

- 10.20 はまた、「/((?x)(*:0))#(?'/」のパターンの処理に
バグを取り込みました。これは修正済みです。

- 左角かっこを含む文字列引数(例えば、/(?C$[$)(?<]/)での呼び出しが不適切に処理され、バッファオーバーフローを引き起こす可能性があります。

- 空の文字列と一致する可能性のある過度に反復する条件付きグループ(例えば、/(?(R))*+/)が不適切にコンパイルされました。

- Unicode 表が Unicode 8.0.0 に更新されました。

- パターン内の空のコメント(?#)が不適切に処理され、バッファオーバーフローを引き起こす可能性があります。

- (?:|a|){100}x/ などの特定のパターンを分析する際の、JIT コンパイラでの無限再帰を修正。

- [: および \\ を含む文字クラスがある一部のパターンが不適切にコンパイルされ、初期化されていないメモリからの読み取りまたは不適切なエラー診断を引き起こす可能性があります。
次のような例があります:/[[:\\](?<[::]/ および /[[:\\](?'abc')[a:]。

- 文字列引数での呼び出しに対する右丸括弧の欠落が診断されず、バッファオーバーフローが引き起こされる可能性がありました。

- (?R の後に - または + が続く場合、診断の代わりに、不適切な動作が発生しました。

- xclass 内の \p{Any} が現在の文字を読み取らない問題を修正しました。

- その他の約 80 件の修正(libpcre2-8-0 パッケージに含まれる ChangeLog で確認できます)。

ソリューション

影響を受ける pcre2 パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=971741

プラグインの詳細

深刻度: Critical

ID: 92974

ファイル名: openSUSE-2016-966.nasl

バージョン: 2.5

タイプ: local

エージェント: unix

公開日: 2016/8/16

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

Base Score: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libpcre2-16-0, p-cpe:/a:novell:opensuse:libpcre2-16-0-32bit, p-cpe:/a:novell:opensuse:libpcre2-16-0-debuginfo, p-cpe:/a:novell:opensuse:libpcre2-16-0-debuginfo-32bit, p-cpe:/a:novell:opensuse:libpcre2-32-0, p-cpe:/a:novell:opensuse:libpcre2-32-0-32bit, p-cpe:/a:novell:opensuse:libpcre2-32-0-debuginfo, p-cpe:/a:novell:opensuse:libpcre2-32-0-debuginfo-32bit, p-cpe:/a:novell:opensuse:libpcre2-8-0, p-cpe:/a:novell:opensuse:libpcre2-8-0-32bit, p-cpe:/a:novell:opensuse:libpcre2-8-0-debuginfo, p-cpe:/a:novell:opensuse:libpcre2-8-0-debuginfo-32bit, p-cpe:/a:novell:opensuse:libpcre2-posix1, p-cpe:/a:novell:opensuse:libpcre2-posix1-32bit, p-cpe:/a:novell:opensuse:libpcre2-posix1-debuginfo, p-cpe:/a:novell:opensuse:libpcre2-posix1-debuginfo-32bit, p-cpe:/a:novell:opensuse:pcre2-debugsource, p-cpe:/a:novell:opensuse:pcre2-devel, p-cpe:/a:novell:opensuse:pcre2-devel-static, p-cpe:/a:novell:opensuse:pcre2-tools, p-cpe:/a:novell:opensuse:pcre2-tools-debuginfo, cpe:/o:novell:opensuse:42.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2016/8/11

脆弱性公開日: 2016/3/17

参照情報

CVE: CVE-2016-3191