中危 PCRE2 安全漏洞(CVE-2022-41409)

CVE编号

CVE-2022-41409

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-07-18

漏洞描述

PCRE2是PCRE2Project开源的一组 C 函数。使用与 Perl5 相同的语法和语义来实现正则表达式模式匹配。PCRE2 10.41 之前版本存在安全漏洞，该漏洞源于pcre2test 中存在整数溢出问题，允许攻击者通过负输入造成拒绝服务。

解决建议

"将组件 pcre2project/pcre2 升级至 pcre2-10.41 及以上版本"

参考链接
https://github.com/PCRE2Project/pcre2/commit/94e1c001761373b7d9450768aa15d04c25547a35
https://github.com/PCRE2Project/pcre2/issues/141

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	pcre	pcre2	*		Up to (excluding) 10.41
	运行在以下环境
	系统	alpine_3.15	pcre2	*		Up to (excluding) 10.42-r0
	运行在以下环境
	系统	alpine_3.16	pcre2	*		Up to (excluding) 10.42-r0
	运行在以下环境
	系统	alpine_3.17	pcre2	*		Up to (excluding) 10.41-r0
	运行在以下环境
	系统	alpine_3.18	pcre2	*		Up to (excluding) 10.41-r0
	运行在以下环境
	系统	alpine_edge	pcre2	*		Up to (excluding) 10.41-r0
	运行在以下环境
	系统	amazon_2023	pcre2	*		Up to (excluding) 10.40-1.amzn2023.0.3
	运行在以下环境
	系统	debian_10	pcre2	*		Up to (including) 10.32-5
	运行在以下环境
	系统	debian_11	pcre2	*		Up to (including) 10.36-2+deb11u1
	运行在以下环境
	系统	debian_12	pcre2	*		Up to (excluding) 10.42-1
	运行在以下环境
	系统	debian_sid	pcre2	*		Up to (excluding) 10.42-1
	运行在以下环境
	系统	opensuse_5.3	libpcre2	*		Up to (excluding) 8-0-10.39-150400.4.9.1
	运行在以下环境
	系统	opensuse_5.4	libpcre2	*		Up to (excluding) 8-0-10.39-150400.4.9.1
	运行在以下环境
	系统	opensuse_Leap_15.4	pcre2-devel	*		Up to (excluding) 32-0-32bit-10.39-150400.4.9.1
	运行在以下环境
	系统	opensuse_Leap_15.5	pcre2-devel	*		Up to (excluding) 32-0-32bit-10.39-150400.4.9.1
	运行在以下环境
	系统	suse_12_SP5	libpcre2-posix2	*		Up to (excluding) 32-0-10.34-1.13.1
	运行在以下环境
	系统	unionos_e	pcre2	*		Up to (excluding) pcre2-10.35-5.uel20.01

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-190	整数溢出或超界折返

Exp相关链接

- avd.aliyun.com