Google Security Team の Tavis Ormandy さんにより PERL 互換正規表現ライ ブラリ PCRE に複数の欠陥が発見されました。これらの欠陥を特殊な形式の正 規表現で攻撃することにより、リモートの攻撃者が任意のコードを実行可能で す。
PCRE ライブラリのバージョン 7.0 で正規表現コンパイラ周りの大きな書き換 えが実施されており、Debian の安定版 (stable) および旧安定版 (oldstable) に 7.3 バージョンのセキュリティ修正をバックポートする (バージョンは順に 6.7 および 4.5 です) のは困難と判断されました。このため、今回の更新は、 旧バージョンとの互換性を増すための特殊なパッチを当てたバージョン 7.4 (バージョン 7.3 のセキュリティ修正およびいくつかの退行修正を含む) をベースにしています。 このため、この更新の適用には十分な注意を払ってください。
The Common Vulnerabilities and Exposures project は以下の問題を認識して います。
マッチしない \Q\E シーケンスに、単体の \E コードが続く場合、コンパ イルされた regex の同期が崩れ、壊れたバイトコード生成による複数の 攻撃可能な状況を発生する可能性があります。
文字クラス長の計算を最初のパスで誤る場合が複数発見されました。この 結果、不十分なメモリ割り当てを引き起こす可能性があります。
\X?\d または \P{L}?\d の形式を UTF-8 以外のモードで使用した際に、文 字列の最初を超えて逆向きに読み込みを発生されることができる場合が複数 発見されました。これにより、アドレス空間からの情報漏洩や、範囲外読み 出しによるクラッシュを引き起こすことが可能です。
かっこの対応をとるため、文字列長を超えて読むような誤動作を引き起こさ せることが可能なルーチンがいくつかあります。この結果サービス拒否攻撃 を引き起こすことができます。
エスケープシーケンスの処理で複数の整数オーバフローがあり、ヒープオー バフローや、範囲外への読み書きを引き起こす可能性があります。
\P および \P{x} シーケンスの処理で、これらの非標準の処理長を誤って処 理しているため複数の無限ループとヒープオーバフローの可能性があること が発見されました。
長い Unicode シーケンスを含むキャラクタクラスが誤って最適化されるた め、ヒープオーバフローの可能性があります。
旧安定版 (oldstable) ディストリビューション (sarge) では、これらの問題は バージョン 4.5+7.4-1 で修正されています。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 6.7+7.4-2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 7.3-1 で修正されています。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。