Security Lab

Компрометация системы в LibYAML

Дата публикации:27.03.2014
Всего просмотров:837
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVSSv2 рейтинг: 9 (AV:N/AC:L/Au:N/C:P/I:C/A:P/E:U/RL:O/RC:C)
CVE ID: CVE-2014-2525
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: LibYAML 0.x
Уязвимые версии: LibYAML 0.x, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки в функции "yaml_parser_scan_uri_escapes()" в файле src/scanner.c. Удаленный пользователь может с помощью специально сформированного файла yam, вызвать переполнение буфера памяти.

URL производителя: http://pyyaml.org/wiki/LibYAML

Решение: Установите последнюю версию 0.1.6 с сайта производителя

Ссылки: https://bitbucket.org/xi/libyaml/commits/bce8b60f0b9af69fa9fab3093d0a41ba243de048
http://www.ocert.org/advisories/ocert-2014-003.html