ICU栈缓冲区溢出漏洞

admin

0
文章

0
评论

2023-12-02 18:09:31 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 ICU栈缓冲区溢出漏洞

CVE编号

CVE-2014-9911

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-01-05

漏洞描述

ICU是一个为软件应用程序提供Unicode和全球化支持的C/C++和Java库。 ICU 54.1之前的版本中的‘uloc_getDisplayName()’函数存在远程栈缓冲区溢出漏洞，该漏洞源于程序未能充分对用户提供的数据执行边界检查。攻击者可利用该漏洞在应用程序上下文中执行任意代码，也可能造成拒绝服务。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：http://icu-project.org/

参考链接
http://bugs.icu-project.org/trac/changeset/35699
http://bugs.icu-project.org/trac/ticket/1089
http://www.openwall.com/lists/oss-security/2016/11/25/1
http://www.securityfocus.com/bid/94520
http://www.securitytracker.com/id/1037556
https://bugs.php.net/bug.php?id=67397
https://bugzilla.redhat.com/show_bug.cgi?id=1383569
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	icu-project	international_components_for_unicode	*		Up to (excluding) 54.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 57.1-5
	运行在以下环境
	系统	debian_10	icu	*		Up to (excluding) 55.1-3
	运行在以下环境
	系统	debian_11	icu	*		Up to (excluding) 55.1-3
	运行在以下环境
	系统	debian_12	icu	*		Up to (excluding) 55.1-3
	运行在以下环境
	系统	debian_7	icu	*		Up to (excluding) 4.8.1.1-12+deb7u6
	运行在以下环境
	系统	debian_8	icu	*		Up to (excluding) 52.1-8+deb8u2
	运行在以下环境
	系统	debian_sid	icu	*		Up to (excluding) 55.1-3
	运行在以下环境
	系统	suse_11	icu	*		Up to (excluding) 4.0-47.3
	运行在以下环境
	系统	suse_11_SP4	libicu	*		Up to (excluding) 4.0-43.1
	运行在以下环境
	系统	ubuntu_12.04.5_lts	firefox	*		Up to (excluding) 50.1.0+build2-0ubuntu0.12.04.1
	运行在以下环境
	系统	ubuntu_14.04	icu	*		Up to (excluding) 52.1-3ubuntu0.5
	运行在以下环境
	系统	ubuntu_14.04.6_lts	firefox	*		Up to (excluding) 50.1.0+build2-0ubuntu0.14.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	firefox	*		Up to (excluding) 50.1.0+build2-0ubuntu0.16.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	firefox	*		Up to (excluding) 50.1.0+build2-0ubuntu1
	运行在以下环境
	系统	ubuntu_18.10	firefox	*		Up to (excluding) 50.1.0+build2-0ubuntu1