Nowa podatność w grepie – co musisz wiedzieć!
Nowa podatność w grepie – co musisz wiedzieć!
W sieci pojawił się exploit dotyczący narzędzia grep, który wykorzystuje podatność typu int overflow. Problem ten prowadzi do segmentation fault, co może być niebezpieczne w niektórych zastosowaniach. Na szczęście, zagrożenie jest lokalne, a ryzyko niewielkie.
Błąd występuje od początku istnienia grepa i był szeroko omawiany już w marcu. Dotyczy on przetwarzania linii, których długość przekracza limit typu int (np. >2 GiB na 64-bitowych hostach). Aby przetestować własną wersję grepa, można użyć poniższych poleceń:
$ perl -e 'print "x"x(2**31)' | grep x > /dev/null$ perl -e 'print "\nx"x(2**31)' | grep -c x > /dev/nullNa podatnych wersjach grepa oczekiwany wynik to: Segmentation fault (core dumped). Choć błąd został naprawiony w wersji 2.11, poprawka nie została jeszcze rozdystrybuowana do repozytoriów Ubuntu i Redhat, co budzi obawy wśród użytkowników.
Na podstawie: Źródła
