МСВС и уязвимость CVE-2012-5667 (помогите разобраться)

Системы, которые не вошли в список.

Модератор: Модераторы разделов

Ответить
Аватара пользователя
ArkanJR
Сообщения: 1164
Статус: Профан

МСВС и уязвимость CVE-2012-5667

Сообщение ArkanJR »

Здесь описана уязвимость в GNU grep (Подвержены выпуски утилиты GNU grep до версии 2.11). Метод проверки наличия уязвимости:

Код: Выделить всё

$ perl -e 'print "x"x(2**31)' | grep x > /dev/null

Если проблема присутствует, то после выполнения вышеприведённой команды выводится ошибка сегментирования.

Теперь применительно к МСВС:

1. На ввод grep -V был получен ответ:grep (GNU grep) 2.5.1

2. При выполнении кода

Код: Выделить всё

$ perl -e 'print "x"x(2**31)' | grep x > /dev/null
получено сообщение:
Out of memory!

Про ошибку сегментирования в данном сообщении ничего не упомянуто. Отсюда вопрос: имеется ли уязвимость CVE-2012-5667 в МСВС?
10% — это 0,1.
© Bizdelnick
Спасибо сказали:
Аватара пользователя
deadhead
Сообщения: 1913
Статус: zzz..z

Re: МСВС и уязвимость CVE-2012-5667

Сообщение deadhead »

Если пройтись по ссылкам, то можно заметить что проблема подтверждена лишь на 64-х битной архитектуре... более того некоторые разъяснения приведены и в самом патче закрывающем уязвимость ;)
[x] close
Спасибо сказали:
Аватара пользователя
ArkanJR
Сообщения: 1164
Статус: Профан

Re: МСВС и уязвимость CVE-2012-5667

Сообщение ArkanJR »

deadhead писал(а):
06.01.2013 16:30
Если пройтись по ссылкам, то можно заметить что проблема подтверждена лишь на 64-х битной архитектуре... более того некоторые разъяснения приведены и в самом патче закрывающем уязвимость ;)

По ссылкам пишут, что проблема связана с переполнением памяти при обработке длинных строк (на архитектуре x86_64 длина опасной строки составляет порядка 2 Гб).
10% — это 0,1.
© Bizdelnick
Спасибо сказали:
Ответить