检测

MagicLinux 7pcre-8.32-15.el7.1 (AXSA:2016-391:01)

critical Nessus 插件 ID 288969

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2016-391:01 公告中提及的多个漏洞的影响。

 与 Perl 兼容的正则表达式库。
 PCRE 有自己的本机 API但库 libpcreposix 中也提供了一组基于 POSIX API 的包装程序函数。请注意这只是为 PCRE 提供 POSIX 调用接口正则表达式本身仍遵循 Perl 语法和语义。POSIX 样式函数的标头文件名为 pcreposix.h。
 此版本修复的安全问题
 CVE-2015-23288.36 之前版本的 PCRE 未正确处理 /((?(R)a|(?1))) / 具有特定递归的模式及相关模式这允许远程攻击者造成拒绝服务分段错误或可能造成不明通过构建的正则表达式造成的其他影响这一点已由 Konqueror 遇到的 JavaScript RegExp 对象证实。
 CVE-2015-3217
 ** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
 CVE-2015-5073
 ** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
 CVE-2015-83858.38 之前版本的 PCRE 错误处理具有特定转发引用的 /(?|(\k'Pm')|(?'Pm'))/ 模式和相关模式这允许远程攻击者造成拒绝服务缓冲区溢出) 或可能通过构建的正则表达式造成其他不明影响这一点已由 Konqueror 遇到的 JavaScript RegExp 对象证实。
 CVE-2015-83868.38 之前版本的 PCRE 未正确处理向后回顾断言与相互递归子模式的交互这允许远程攻击者通过构建的正则表达式造成拒绝服务缓冲区溢出或可能造成其他不明影响这一点已由 JavaScript RegExp 对象证实Konqueror 遇到的。
 CVE-2015-83888.38 之前的 PCRE 错误处理 /(?=di(?<=(?1))|(?=(.))))/ 模式及具有不匹配右括号的相关模式这允许远程攻击者造成通过构建的正则表达式造成拒绝服务缓冲区溢出或可能具有其他不明影响Konqueror 遇到的 JavaScript RegExp 对象即为一例。
 CVE-2015-8391 在低于 8.38 的 PCRE 中pcre_compile.c 中的 pcre_compile 函数未正确处理某些 [: 嵌套其允许远程攻击者通过构建的正则表达式造成拒绝服务CPU 消耗或可能造成其他不明影响这一点已由Konqueror 遇到的 JavaScript RegExp 对象。
 CVE-2016-3191 [ 8.x 之前的 PCRE 中的 pcre_compile.c 内的 compile_branch 函数以及 10.228.39 之前的 PCRE2 中的 pcre2_compile.c 内的 compile_branch 函数未正确处理包含 (*ACCEPT) 子字符串和嵌套括号的模式这允许远程攻击者执行任意代码或造成通过特制的正则表达式导致拒绝服务基于堆栈的缓冲区溢出Konqueror 遇到的 JavaScript RegExp 对象即为一例又称为 ZDI-CAN-3542。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 pcre 和/或 pcre-devel 程序包。

另见

https://tsn.miraclelinux.com/en/node/6778

插件详情

严重性: Critical

ID: 288969

文件名: miracle_linux_AXSA-2016-391.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 9

时间分数: 7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:C

CVSS 分数来源: CVE-2015-8391

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2016-3191

漏洞信息

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:pcre-devel, p-cpe:/a:miracle:linux:pcre

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/5/11

漏洞发布日期: 2015/1/12

参考资料信息

CVE: CVE-2015-2328, CVE-2015-3217, CVE-2015-5073, CVE-2015-8385, CVE-2015-8386, CVE-2015-8388, CVE-2015-8391, CVE-2016-3191