GPGME 基于堆的缓冲区溢出漏洞

漏洞信息详情

GPGME 基于堆的缓冲区溢出漏洞

• CNNVD编号：CNNVD-201408-019
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3564
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2014-08-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-10-22
  
• 厂        商：
  
  gnu
• 漏洞来源：

GPGME（GnuPG Made Easy）是一个用于访问GnuPG应用程序的库，它提供了用于加密、解密和签名验证等高级别加密API。

GPGME 1.5.1之前版本的engine-gpgsm.c和engine-uiserver.c脚本中的‘status_handler’函数中存在基于堆的缓冲区溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务（崩溃），或执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.gnupg.org/download/index.html#gpgme

来源:MLIST

链接:http://seclists.org/oss-sec/2014/q3/266

来源:OSVDB

链接:http://www.osvdb.org/109699

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1113267

来源:git.gnupg.org

链接:http://git.gnupg.org/cgi-bin/gitweb.cgi?p=gpgme.git;a=commit;h=2cbd76f7911fc215845e89b50d6af5ff4a83dd77

来源:BID

链接:http://www.securityfocus.com/bid/68990

来源:SECUNIA

链接:http://secunia.com/advisories/59861

来源:SECUNIA

链接:http://secunia.com/advisories/60557

来源:SECUNIA

链接:http://secunia.com/advisories/60634

来源:SECUNIA

链接:http://secunia.com/advisories/60723