grep-2.20-3.AXS4

エラータID: AXSA:2015-422:01

リリース日: 
2015/08/17 Monday - 12:51
題名: 
grep-2.20-3.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
Low
Description: 

以下項目について対処しました。

[Security Fix]
- GNU Grep には複数の整数オーバーフローが存在し,長い入力行を含む要因によって,攻撃者が任意のコードを実行する脆弱性があります。(CVE-2012-5667)

- kwset.c のbmexec_trans 関数には,-F オプションを用いた場合,巧妙に細工された入力によって,ローカルのユーザがサービス拒否 (境界外からのヒープリードとクラッシュ) を引き起こす脆弱性があります。(CVE-2015-1345)

[Bug Fix]
- w W のシンボルは矛盾して [:alnum:] 文字クラスとマッチしていました。そのため,w と W を用いた正規表現は,ある場合誤った結果を返す問題がありました。この問題を修正しました。

- 古くなった "--fixed-regexp" コマンドラインオプションが grep(1) の man
ページに含まれていませんでした。そのため man ページが grep のビルトインヘルプと不整合が生じていた問題を修正しました。

- Perl Compatible Regular Expression (PCRE) ライブラリが UTF-8 モードで
UTF-8 以外のテキストにマッチした場合,正しく動作していませんでした。
そのため,不正な UTF-8 バイトシーケンス文字についてのエラーメッセージが
返される問題を修正しました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-5667
Multiple integer overflows in GNU Grep before 2.11 might allow context-dependent attackers to execute arbitrary code via vectors involving a long input line that triggers a heap-based buffer overflow.
CVE-2015-1345
The bmexec_trans function in kwset.c in grep 2.19 through 2.21 allows local users to cause a denial of service (out-of-bounds heap read and crash) via crafted input when using the -F option.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grep-2.20-3.AXS4.src.rpm
    MD5: 22cb90f13d42cb9b62653dc1754f6418
    SHA-256: db065f7a9f4838ca91bdae6ce62c64e83acad7c94e4f44b88df430c08f67cfb4
    Size: 1.21 MB

Asianux Server 4 for x86
  1. grep-2.20-3.AXS4.i686.rpm
    MD5: 0e12e4ed0185bdf9b8263960c005fb21
    SHA-256: 6149dc141d5151310e98efd105bc5f5f84850fe2dca29cb26d1d2a6fecf486ee
    Size: 342.02 kB

Asianux Server 4 for x86_64
  1. grep-2.20-3.AXS4.x86_64.rpm
    MD5: ee3d9f6020b96f23e0ebd7a84382001f
    SHA-256: 9a70c57c3559de93d2319e8162c70ae811e23012666f8618cc0d2f7211e6f4f8
    Size: 343.64 kB