S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 septembre 2005
N° CERTA-2005-AVI-336
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du moteur d'expressions régulières PCRE

Gestion du document

Référence CERTA-2005-AVI-336
Titre Vulnérabilité du moteur d'expressions régulières PCRE
Date de la première version07 septembre 2005
Date de la dernière version10 mars 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exploitation à distance selon l'application utilisant la bibliothèque pcre
  • Exécution de code arbitraire

Systèmes affectés

Tout système utilisant la bibliothèque PCRE, qui est disponible pour Unix/MacOSX et Windows. De plus, de nombreux projets utilisent cette bibliothèque - en l'incluant éventuellement nativement - : les serveurs de messagerie Exim et Postfix, le serveur web Apache, la bibliothèque de KDE kdelibs, les outils d'analyse réseau nmap, amap et ethereal, l'analyseur de journaux de serveur web analog, les langages de script Python et PHP, le tableur Gnumeric,...

Résumé

Une vulnérabilité a été identifiée dans la gestion de l'allocation mémoire. Un utilisateur mal intentionné pourrait s'en servir pour provoquer un déni de service, voire exécuter du code arbitraire.

Description

PCRE (« Perl Compatible Regular Expressions ») est une bibliothèque de gestion des expressions régulières (motifs pour la recherche de textes) compatible avec la syntaxe présente dans Perl.

Dans le cas du serveur web Apache, l'interprétation des fichiers .htaccess, qui peuvent être placés dans tout répertoire de l'arborescence et en particulier les pages personnelles, est concernée.

Solution

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Les services corrigés où liés dynamiquement à une bibliothèque mise à jour doivent être relancés (Apache, Exim, Postfix,...)

Documentation

Gestion détaillée du document

    le 07 septembre 2005
    version initiale ;
    le 14 septembre 2005
    ajout de deux bulletins SuSE - Apache2 et un second PHP - et du bulletin Gentoo pour Python.
    le 19 septembre 2005
    ajout de la référence au bulletin de sécurité RedHat RHSA-2005:761.
    le 22 septembre 2005
    ajout de la référence au bulletin de sécurité Debian DSA-817.
    le 23 septembre 2005
    ajout de la référence au bulletin de sécurité Debian DSA-819.
    le 28 septembre 2005
    ajout de la référence au bulletin de sécurité Debian DSA-821.
    le 10 mars 2006
    ajout de la référence au bulletin de sécurité Gentoo GLSA-200509-12, Gentoo GLSA-200509-19 et RedHat RHSA-2006:0197.