> GNU Coreutils sort 缓冲区错误漏洞

GNU Coreutils sort 缓冲区错误漏洞

CNNVD-ID编号	CNNVD-201505-270	CVE编号	CVE-2015-4041
发布时间	2015-05-18	更新时间	2020-05-29
漏洞类型	缓冲区错误	漏洞来源	N/A
危险等级	高危	威胁类型	本地
厂商	N/A

漏洞介绍

GNU Coreutils（GNU Core Utilities，GNU核心工具组）是GNU计划开发的一个包含了多个类Unix所需的基本工具的软件包，如textutils（文本工具组）、shellutils（shell工具组）、fileutils（文件工具组）等。

GNU Coreutils 8.23及之前版本（64-bit）中的sort的sort.c文件的‘keycompare_mb’函数存在缓冲区错误漏洞，该漏洞源于程序在执行大小计算时未考虑多字节字符占用的字节数。攻击者可通过较长的UTF-8字符串利用该漏洞导致拒绝服务（基于堆的缓冲区溢出和应用程序崩溃）或其他影响。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.gnu.org/software/coreutils/coreutils.html

参考网址

来源:openwall.com

链接：http://openwall.com/lists/oss-security/2015/05/15/1

来源:bugzilla.suse.com

链接：https://bugzilla.suse.com/show_bug.cgi?id=928749

来源:github.com

链接：https://github.com/pixelb/coreutils/commit/bea5e36cc876ed627bb5e0eca36fdfaa6465e940

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201505-270