GLSA-201702-15：OCaml：緩衝區溢位及資訊洩漏

critical Nessus Plugin ID 97258

語系：

概要

遠端 Gentoo 主機缺少一個或多個與安全性相關的修補程式。

說明

遠端主機受到 GLSA-201702-15 中所述的弱點影響 (OCaml：緩衝區溢位及資訊洩漏)

據發現，OCaml 容易受到一個執行時間錯誤的影響：此錯誤會在 64 位元的平台上造成向內部 memmove 呼叫發出的大小引數在被傳送到 memmove 函式之前，從 32 位元符號擴充到 64 位元。這會導致系統將 2GiB 和 4GiB 之間的引數解譯為大於其實際值 (具體而言是稍微小於 2^64)，進而造成緩衝區溢位。此外，系統會將 4GiB 和 6GiB 之間的引數解譯為小於其實際值的 4GiB，可能進而造成資訊洩漏。
影響：

能夠與 OCaml 型應用程式互動的遠端攻擊者可能取得敏感資訊，或造成拒絕服務情形。
因應措施：

目前尚無已知的因應措施。

解決方案

所有 OCaml 使用者皆應升級至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-lang/ocam-4.04.0' 與 OCaml 相依的套件可能需要重新編譯。諸如 qdepends 此類工具 (包括在 app-portage/portage-utils 中) 可能有助於識別下列套件：
# emerge --oneshot --ask --verbose $(qdepends -CQ dev-lang/ocaml | sed 's/^/=/')