RHEL 6 : grep (RHSA-2015:1447)

medium Nessus Plugin ID 84948

語系：

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 grep 套件，可修正兩個安全性問題、數個錯誤，並新增多個增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

grep 公用程式會搜尋文字輸入中符合指定模式的行，然後列印相符的行。GNU grep 公用程式包含 grep、egrep 和 fgrep。

在 grep 剖析大行資料的方式中，發現一個可導致堆積型緩衝區溢位的整數溢位瑕疵。能夠誘騙使用者針對特製的資料檔案執行 grep 的攻擊者可利用此瑕疵造成 grep 損毀，或可能以 grep 使用者的權限執行任意程式碼。(CVE-2012-5667)

在 grep 用於處理特定模式和文字組合的方法中，發現一個堆積型緩衝區溢位瑕疵。能夠誘騙使用者針對特製的輸入執行 grep 的攻擊者可利用此瑕疵造成 grep 損毀，或可能從未初始化的記憶體讀取。
(CVE-2015-1345)

grep 套件已升級至上游版本 2.20，相較於先前的版本，此版本提供數個錯誤修正與增強功能。值得注意的是，多個作業的速度已經顯著提升。現在，遞迴 grep 公用程式使用 gnulib 程式庫的 fts 函式進行目錄遊走，讓它可以處理更大的目錄，而不會回報「檔案名稱太長」錯誤訊息，因此在處理大型目錄階層時，其運作速度更快。(BZ#982215、BZ#1064668、BZ#1126757、BZ#1167766、BZ#1171806)

此更新也可修正下列錯誤：

* 在此更新之前，\w 和 \W 符號無法與 [:alnum:] 字元類別相符。因此，在某些情況下，使用 \w 和 \W 的規則運算式結果不正確。
已套用修正相符問題的上游修補程式，因此，\w 現在與 [_[:alnum:]] 字元相符，而 \W 與 [^_[:alnum:]] 字元相符。(BZ#799863)

* 之前，「--fixed-regexp」命令行選項不包含在 grep(1) 手冊頁面中。因此，手冊頁面與內建的 grep 公用程式說明不一致。為修正此錯誤，grep(1) 已經更新，其中包含通知使用者「--fixed-regexp」為淘汰選項的備註。現在，內建的說明與手冊頁面對於「--fixed-regexp」選項是一致的。
(BZ#1103270)

* 之前，Perl 相容規則運算式 (PCRE) 程式庫在 UTF-8 模式下比對非 UTF-8 文字時，無法正確運作。
因此，會傳回有關無效 UTF-8 位元組序列字元的錯誤訊息。為修正此錯誤，現已將上游修補程式套用至 PCRE 程式庫與 grep 公用程式。因此，現在 PCRE 會將非 UTF-8 字元視為不相符的文字而略過，不會再傳回任何錯誤訊息。(BZ#1193030)

建議所有 grep 使用者皆升級至這些更新版套件，其可更正這些問題並新增這些增強功能。