Fedora 37: yajl (2023 - 852 - b377773)

高Nessus插件ID 178918

剧情简介

远程Fedora主机缺失一个或多个安全更新。

描述

远程Fedora 37所影响的主机已安装了一个包中引用多个漏洞Fedora - 2023 - 852 - b377773咨询。

——yajl-ruby C绑定YAJL JSON解析和生成库。1。x分行和2。x的分支“yajl”包含一个整数溢出导致随后的堆内存腐败在处理大型(~ 2 gb)输入。在“yajl_buf重新分配逻辑。c# L64”可能导致“需要32位整数包装为0时的需要的方法的值0 x80000000(例如~ 2 gb的数据),从而导致缓冲区配置- > alloc堆成小块。这些整数被宣布为“size_t”2。x“yajl”的分支,它几乎可以防止这个问题引发在64位平台上,但是这并不排除这个问题引发的32位版本“size_t”是一个32位整数。后续的人口under-allocated堆块是基于原来的缓冲区大小,导致堆内存腐败。这种脆弱性主要影响过程的可用性。 Maintainers believe exploitation for arbitrary code execution is unlikely. A patch is available and anticipated to be part of yajl-ruby version 1.4.2. As a workaround, avoid passing large inputs to YAJL. (CVE-2022-24795)

——有一个内存泄漏yajl 2.1.0 yajl_tree_parse函数的使用。这将导致服务器内存不足,导致崩溃。(cve - 2023 - 33460)

注意Nessus没有检测这些问题但却只依赖于应用程序的自我报告的版本号。