Уязвимость переполнения буфера в куче в функции "yaml_parser_scan_uri_escapes" в LibYAML, позволяющая выполнить произвольный код через длинную последовательность процентно-закодированных символов в URI файла YAML
Описание
Обнаружена уязвимость переполнения буфера в куче в функции yaml_parser_scan_uri_escapes в LibYAML. Злоумышленники, зависящие от контекста (context-dependent), могут выполнить произвольный код, используя длинную последовательность процентно-закодированных символов в URI файла YAML.
Заявление
Red Hat Satellite не поставляет пакет libyaml, а вместо этого использует пакет из дистрибутива RHEL, поэтому он был помечен как не затронутый.
Способы защиты
Способов защиты от данной уязвимости либо нет, либо доступные на данный момент варианты не соответствуют критериям Red Hat Product Security, включающим удобство использования и развертывания, применимость к широкой базе установок или стабильность.
Затронутые версии ПО
- LibYAML до версии 0.1.6
Тип уязвимости
- Переполнение буфера в куче
- Выполнение произвольного кода
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| CloudForms Management Engine 5 | ruby193-libyaml | Not affected | ||
| OpenShift Enterprise 1 | ruby193-libyaml | Will not fix | ||
| Red Hat Enterprise Linux 6 | libyaml | Affected | ||
| Red Hat Enterprise Linux 7 | libyaml | Not affected | ||
| Red Hat Enterprise MRG 1 | libyaml | Will not fix | ||
| Red Hat Enterprise MRG 2 | libyaml | Will not fix | ||
| Red Hat Satellite 5.3 | libyaml | Will not fix | ||
| Red Hat Satellite 5.4 | libyaml | Will not fix | ||
| Red Hat Satellite 5.5 | libyaml | Will not fix | ||
| Red Hat Satellite 5.6 | libyaml | Not affected |
Показывать по
Дополнительная информация
Статус:
EPSS
6.8 Medium
CVSS2
Связанные уязвимости
Heap-based buffer overflow in the yaml_parser_scan_uri_escapes function in LibYAML before 0.1.6 allows context-dependent attackers to execute arbitrary code via a long sequence of percent-encoded characters in a URI in a YAML file.
Heap-based buffer overflow in the yaml_parser_scan_uri_escapes function in LibYAML before 0.1.6 allows context-dependent attackers to execute arbitrary code via a long sequence of percent-encoded characters in a URI in a YAML file.
Heap-based buffer overflow in the yaml_parser_scan_uri_escapes functio ...
Heap-based buffer overflow in the yaml_parser_scan_uri_escapes function in LibYAML before 0.1.6 allows context-dependent attackers to execute arbitrary code via a long sequence of percent-encoded characters in a URI in a YAML file.
Уязвимость операционной системы Gentoo Linux, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
EPSS
6.8 Medium
CVSS2