shell-script-pt
[Top][All Lists]
Advanced

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [shell-script] Falha na GNU libc pode trazer vulnerabilidade de nega


From: Oscar Marques
Subject: Re: [shell-script] Falha na GNU libc pode trazer vulnerabilidade de negação de serviços a todos os programas que aceitem expressões regulares
Date: Tue, 6 Jan 2015 12:00:35 -0200

A falha é de 2010.

$ grep -E ".*{10,}{10,}{10,}{10,}{10,}"
Falha de segmentação


$ bash -version
bash -version
GNU bash, versão 4.2.25(1)-release (i686-pc-linux-gnu)
Copyright (C) 2011 Free Software Foundation, Inc.
Licença GPLv3+: GNU GPL versão 3 ou posterior <http://gnu.org/licenses/gpl.html>

Este é um software livre; você é livre para alterá-lo e redistribui-lo.
Não há NENHUMA GARANTIA, até onde a lei permite.


Em 6 de janeiro de 2015 11:47, Fernando Mercês address@hidden [shell-script] <address@hidden> escreveu:
 

Ainda bem que uso a libpcre :)


Att,

Fernando Mercês
Linux Registered User #432779
www.mentebinaria.com.br
------------------------------------
"Ninguém pode ser escravo de sua identidade; quando surge uma possibilidade de mudança é preciso mudar". (Elliot Gould)

2015-01-05 18:03 GMT-02:00 'Ernander (Nander)' address@hidden [shell-script] <address@hidden>:
 

Pessoal, 

Depois de Passar pelo Crivo do Mestre Júlio, que autorizou a postagem, repasso a fonte:

"Uma vulnerabilidade na função de validação de expressões regulares (regcomp()) da GNU libc deixa os programas suscetíveis a exaustão de pilha, o que pode ser utilizado num ataque de negação de serviço (DoS). Um exemplo de código que ativa o comportamento é grep -E ".*{10,}{10,}{10,}{10,}{10,}". A vulnerabilidade foi descoberta no dia 22/10 e foi tornada pública anteontem (07/12). Ainda não há uma solução para o problema. Veja mais detalhes em US-CERT Vulnerability Note VU#912279."







--
Oscar Marques
address@hidden
http://www.dunkelheit.com.br
@f117usbr
+55 21 9293-9343

reply via email to

[Prev in Thread] Current Thread [Next in Thread]