Исходное сообщение
"Уязвимость в gettext, позволяющая выполнить код при обработк..." Отправлено opennews, 13-Ноя-18 09:14
В библиотеке gettext (https://www.gnu.org/software/gettext/), применяемой для создания многоязычных приложений, выявлена (https://usn.ubuntu.com/3815-1/) опасная уязвимость (CVE-2018-18751 (https://security-tracker.debian.org/tracker/CVE-2018-18751)), которая может использоваться для организации выполнения произвольного кода при обработке специально оформленных сообщений в po-файлах. Проблема вызвана двойным освобождением блока памяти (double free) в функции default_add_message, определённой в файле read-catalog.c. В сети уже доступны варианты (https://github.com/CCCCCrash/POCs/tree/master/Bin/Tools-gett...) po-файлов (https://github.com/CCCCCrash/POCs/tree/master/Bin/Tools-gett...), эксплуатирующие уязвимость. Проблема проявляется только в актуальном выпуске gettext 0.19.8. В кодовой базе gettext проблема была устранена ещё в сентябре 2016 года, без акцента на наличие возможной уязвимости, но данное изменение пока не вошло в состав релиза (последний выпуск gettext 0.19.8 датирован (https://git.savannah.gnu.org/gitweb/?p=gettext.git;a=summary) июнем 2016 года) и новая версия с исправлением ещё не доступна (http://ftp.gnu.org/pub/gnu/gettext/). Уязвимость устранена в Ubuntu (https://usn.ubuntu.com/3815-1/)  и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1647044), но остаётся неисправленной  в Debian (https://security-tracker.debian.org/tracker/CVE-2018-18751) и RHEL 7 (https://bugzilla.redhat.com/show_bug.cgi?id=1647044). RHEL 5, RHEL 6, SUSE и openSUSE проблеме не подвержены (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-18751) так как используют старые версии gettext без файла "read-catalog.c". URL: https://usn.ubuntu.com/3815-1/ Новость: https://www.opennet.ru/opennews/art.shtml?num=49600