CVE-2018-1125

Опубликовано: 17 мая 2018

Источник: redhat

CVSS3: 4.4

EPSS Низкий

Описание

procps-ng before version 3.3.15 is vulnerable to a stack buffer overflow in pgrep. This vulnerability is mitigated by FORTIFY, as it involves strncat() to a stack-allocated string. When pgrep is compiled with FORTIFY (as on Red Hat Enterprise Linux and Fedora), the impact is limited to a crash.

If a process inspected by pgrep has an argument longer than INT_MAX bytes, "int bytes" could wrap around back to a large positive int (rather than approaching zero), leading to a stack buffer overflow via strncat().

Меры по смягчению последствий

The procps suite on Red Hat Enterprise Linux is built with FORTIFY, which limits the impact of this stack overflow (and others like it) to a crash.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Enterprise Linux 5	procps	Will not fix
Red Hat Enterprise Linux 6	procps	Will not fix
Red Hat Enterprise Linux 7	procps-ng	Will not fix
Red Hat Enterprise Linux 8	procps-ng	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

Дефект:

CWE-121

https://bugzilla.redhat.com/show_bug.cgi?id=1575852procps: stack buffer overflow in pgrep

EPSS

Процентиль: 58%

0.00364

Низкий

4.4 Medium

CVSS3

Связанные уязвимости

CVE-2018-1125

CVSS3: 7.5

ubuntu

больше 7 лет назад

CVE-2018-1125

CVSS3: 7.5

nvd

больше 7 лет назад

CVE-2018-1125

CVSS3: 7.5

debian

больше 7 лет назад

procps-ng before version 3.3.15 is vulnerable to a stack buffer overfl ...

GHSA-jpw5-97m6-c8m2

CVSS3: 7.5

github

больше 3 лет назад

BDU:2018-01505

CVSS3: 7.5

fstec

больше 7 лет назад

Уязвимость функции pgrep набора консольных приложений для мониторинга и завершения системных процессов Props-ng, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 58%

0.00364

Низкий

4.4 Medium

CVSS3