正文

Google protobuf堆缓冲区溢出漏洞

admin
admin V管理员 /0 评论 /19 阅读
0425
此篇文章发布距今已超过1098天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2015-5237

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-09-26
漏洞描述
Google protobuf是美国谷歌(Google)公司的一种数据交换格式。
Google protobuf存在堆缓冲区溢出漏洞。远程攻击者可利用该漏洞执行代码(基于堆缓冲区溢出)。
解决建议
目前没有详细的解决方案提供:
https://github.com/google/protobuf
参考链接
http://www.openwall.com/lists/oss-security/2015/08/27/2
https://bugzilla.redhat.com/show_bug.cgi?id=1256426
https://github.com/google/protobuf/issues/760
https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d...
https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a...
https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34...
https://lists.apache.org/thread.html/r00097d0b5b6164ea428554007121d5dc1f88ba2...
https://lists.apache.org/thread.html/r00d9ab1fc0f1daf14cd4386564dd84f78894044...
https://lists.apache.org/thread.html/r02e39d7beb32eebcdbb4b516e95f67d71c90d5d...
https://lists.apache.org/thread.html/r02e39d7beb32eebcdbb4b516e95f67d71c90d5d...
https://lists.apache.org/thread.html/r0ca83171c4898dc92b86fa6f484a7be1dc96206...
https://lists.apache.org/thread.html/r1263fa5b51e4ec3cb8f09ff40e4747428c71198...
https://lists.apache.org/thread.html/r14fa8d38d5757254f1a2e112270c996711d514d...
https://lists.apache.org/thread.html/r17dc6f394429f6bffb5e4c66555d93c2e9923cb...
https://lists.apache.org/thread.html/r1d274d647b3c2060df9be21eade4ce56d3a5999...
https://lists.apache.org/thread.html/r2ea33ce5591a9cb9ed52750b6ab42ab658f529a...
https://lists.apache.org/thread.html/r320dc858da88846ba00bb077bcca2cdf75b7dde...
https://lists.apache.org/thread.html/r42e47994734cd1980ef3e204a40555336e10cc8...
https://lists.apache.org/thread.html/r42ef6acfb0d86a2df0c2390702ecbe97d2104a3...
https://lists.apache.org/thread.html/r4886108206d4c535db9b20c813fe4723d4fe6a9...
https://lists.apache.org/thread.html/r4ef574a5621b0e670a3ce641e9922543e34f22b...
https://lists.apache.org/thread.html/r5741f4dbdd129dbb9885f5fb170dc1b24a06b93...
https://lists.apache.org/thread.html/r5e52caf41dc49df55b4ee80758356fe1ff2a881...
https://lists.apache.org/thread.html/r764fc66435ee4d185d359c28c0887d3e5866d72...
https://lists.apache.org/thread.html/r7fed8dd9bee494094e7011cf3c2ab75bd8754ea...
https://lists.apache.org/thread.html/r85c9a764b573c786224688cc906c27e28343e18...
https://lists.apache.org/thread.html/ra28fed69eef3a71e5fe5daea001d0456b05b102...
https://lists.apache.org/thread.html/rb40dc9d63a5331bce8e80865b7fa3af9dd31e16...
https://lists.apache.org/thread.html/rb71dac1d9dd4e8a8ae3dbc033aeae514eda9be1...
https://lists.apache.org/thread.html/rd64381fb8f92d640c1975dc50dcdf1b8512e02a...
https://lists.apache.org/thread.html/re6d04a214424a97ea59c62190d79316edf311a0...
https://lists.apache.org/thread.html/rf7539287c90be979bac94af9aaba34118fbf968...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 google protobuf * Up to
(excluding)
3.4.0
运行在以下环境
系统 debian_10 protobuf * Up to
(excluding)
3.6.1.3-2
运行在以下环境
系统 debian_11 protobuf * Up to
(excluding)
3.12.4-1
运行在以下环境
系统 debian_12 protobuf * Up to
(excluding)
3.12.4-1
运行在以下环境
系统 debian_9 protobuf * Up to
(excluding)
3.0.0-9
运行在以下环境
系统 debian_sid protobuf * Up to
(excluding)
3.12.4-1
阿里云评分 2.7
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 普通权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 100
CWE-ID 漏洞类型 CWE-119 内存缓冲区边界内操作的限制不恰当 CWE-787 跨界内存写