RHEL 6：grep (RHSA-2015:1447)

medium Nessus 插件 ID 84948

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 grep 程序包修复了两个安全问题和多个缺陷并添加了多种增强，现在可用于 Red Hat Enterprise Linux 6。

Red Hat 产品安全团队将此更新评级为具有低安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

grep 实用程序会在文本输入中搜索包含与指定模式相匹配的行，然后打印出这些行。GNU grep 实用程序包含 grep、egrep、和 fgrep。

在 grep 解析大量数据行的方式中发现一个整数溢出缺陷，可导致基于堆的缓冲区溢出。能够诱骗用户在特别构建的数据文件上运行 grep 的攻击者可利用此缺陷导致 grep 崩溃，或者以运行 grep 的用户的权限执行任意代码。(CVE-2012-5667)

在 grep 处理某些模式和文本组合的方式中发现一个基于堆的缓冲区溢出缺陷。能够诱骗用户在特别构建的输入上运行 grep 的攻击者可利用此缺陷导致 grep 崩溃，或者从未初始化的内存中读取内容。
(CVE-2015-1345)

grep 程序包已升级到上游版本 2.20，其提供了对之前版本的多项缺陷补丁和增强。尤其是多个操作的速度得到明显提升。现在，递归 grep 实用程序使用 gnulib 库的 fts 函数进行目录遍历，因此能够处理更大的目录而不会发出“文件名过长”错误消息，并且在处理大型目录层次结构时可以更快地运行。（BZ#982215、BZ#1064668、BZ#1126757、BZ#1167766、BZ#1171806）

此更新还修复以下缺陷：

* 在此更新之前，\w 和 \W 符号会不一致地匹配到 [:alnum:] 字符类。因此，使用 \w 和 \W 的正则表达式在某些情况下会产生错误的结果。
已应用上游修补程序以修复匹配问题，现在 \w 和 \W 会分别匹配到 [_[:alnum:]] 和 [^_[:alnum:]] 字符。(BZ#799863)

* 以前，grep(1) 手册页中不包含“--fixed-regexp”命令行选项。因此，该手册页与 grep 实用程序内置的帮助不一致。为修复此缺陷， grep(1) 更新后包含一个注释，通知用户“--fixed-regexp”选项已过时。现在，内置帮助与手册页在关于“--fixed-regexp”选项的内容上是一致的。
(BZ#1103270)

* 以前，Perl 兼容的正则表达式 (PCRE) 库在 UTF-8 模式下匹配非 UTF-8 文本时无法正常工作。
因此，会返回有关无效　UTF-8 字节序列字符的错误消息。为修复此缺陷，已针对　PCRE 库和　grep 实用程序应用上游修补程序。因此，现在 PCRE 会将非 UTF-8 字符视为非匹配文本而将其跳过，不会返回任何错误消息。(BZ#1193030)

建议所有 grep 用户升级这些更新后的程序包，其中修正了这些问题并添加这些增强。