Vigil@nce - PCRE : multiples vulnérabilités
février 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de PCRE.
Produits concernés : Fedora, Unix (plateforme) non exhaustif.
Gravité : 2/4.
Date création : 02/12/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans PCRE.
Un attaquant peut forcer la lecture à une adresse invalide dans
pcre_exec.c, afin de mener un déni de service. [grav:1/4 ;
CVE-2015-8382]
Un attaquant peut provoquer un buffer overflow dans Conditional
Groups, afin de mener un déni de service, et éventuellement
d’exécuter du code. [grav:2/4 ; CVE-2015-8383]
Un attaquant peut provoquer une boucle infinie dans Recursive Back
References, afin de mener un déni de service. [grav:1/4 ;
CVE-2015-8384]
Un attaquant peut provoquer un buffer overflow dans Forward
References, afin de mener un déni de service, et éventuellement
d’exécuter du code. [grav:2/4 ; CVE-2015-8385]
Un attaquant peut provoquer un buffer overflow dans Lookbehind
Assertions, afin de mener un déni de service, et éventuellement
d’exécuter du code. [grav:2/4 ; CVE-2015-8386]
Un attaquant peut provoquer un débordement d’entier dans
Subroutine Calls, afin de mener un déni de service, et
éventuellement d’exécuter du code. [grav:2/4 ; CVE-2015-8387]
Un attaquant peut provoquer un buffer overflow dans Unmatched
Closing Parenthesis, afin de mener un déni de service, et
éventuellement d’exécuter du code. [grav:2/4 ; CVE-2015-8388]
Un attaquant peut provoquer une boucle infinie, afin de mener un
déni de service. [grav:1/4 ; CVE-2015-8389]
Un attaquant peut forcer la lecture à une adresse invalide dans
Character Classes, afin de mener un déni de service. [grav:1/4 ;
CVE-2015-8390]
Un attaquant peut provoquer une boucle infinie dans pcre_compile,
afin de mener un déni de service. [grav:1/4 ; CVE-2015-8391]
Un attaquant peut provoquer un buffer overflow, afin de mener un
déni de service, et éventuellement d’exécuter du code.
[grav:2/4 ; CVE-2015-8392]
Un attaquant peut contourner les mesures de sécurité avec
l’option "-q", afin d’obtenir des informations sensibles.
[grav:2/4 ; CVE-2015-8393]
Un attaquant peut provoquer un débordement d’entier dans
Conditions, afin de mener un déni de service, et éventuellement
d’exécuter du code. [grav:2/4 ; CVE-2015-8394]
Un attaquant peut provoquer une erreur fatale dans References,
afin de mener un déni de service. [grav:1/4 ; CVE-2015-8395]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/PCRE-multiples-vulnerabilites-18414