在GNU coreutils 套件中提供的用於將大檔案拆分為多個部分的split 實用程式中,發現了一個漏洞(CVE-2024-0684),該漏洞在處理長行(數百位元組)時會導致緩衝區溢出,如果“ —”選項用於分割行位元組”(“-C”)。該漏洞是在對使用 split 公用程式拆分使用 QR 碼傳輸的資料時發生的故障進行分析時發現的。
此漏洞是由於 coreutils 7.2 中用 xpalloc 取代對 xrealloc 函數的呼叫時出現的錯誤所導致的。修復該問題的補丁已經被接受到程式碼庫中,但是尚未產生修復該問題的新版本。為了演示此漏洞,已發布一個範例文件,該文件在執行“split -C 1024 ./split_me”時會導致溢位。
來源: opennet.ru
