GLSA-201702-15 : OCaml：缓冲区溢出及信息泄露

critical Nessus 插件 ID 97258

语言：

简介

远程 Gentoo 主机缺少一个或多个与安全有关的补丁。

描述

远程主机受到 GLSA-201702-15 中所述漏洞的影响（OCaml：缓冲区溢出及信息泄露）

据发现，OCaml 容易受到一个运行时间缺陷的影响，此缺陷会在 64 位的平台上造成向内部 memmove 调用发出的大小参数在被传送到 memmove 函数之前，从 32 位被符号扩展到 64 位。这会导致系统将 2GiB 和 4GiB 之间的参数解译为大于其实际值（具体而言是稍微小于 2^64），进而造成缓冲区溢出。此外，系统会将 4GiB 和 6GiB 之间的参数解译为小于其实际值的 4GiB，进而可能造成信息泄漏。
影响：

能够与 OCaml 型应用程序互动的远程攻击者可能取得敏感信息，或造成拒绝服务情况。
变通方案：

目前无任何已知的变通方案。

解决方案

所有 OCaml 用户均应升级至最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-lang/ocam-4.04.0' 可能需要对依赖 OCaml 的程序包进行重新编译。如 qdepends 类的工具（包括在 app-portage/portage-utils 中）可能有助于识别下列程序包：
# emerge --oneshot --ask --verbose $(qdepends -CQ dev-lang/ocaml | sed 's/^/=/')