关键信息 漏洞描述 漏洞类型: 堆基缓冲区溢出(Heap based buffer overflow) 受影响的组件: libsass CVE编号: CVE-2017-11554, CVE-2017-11555, CVE-2017-11556, CVE-2017-11565, CVE-2017-11560, CVE-2017-12962, CVE-2017-12963, CVE-2017-12964 报告与状态 报告时间: 2017-07-24 09:39 UTC 修改时间: 2018-11-30 17:51 UTC 状态: 已关闭(End of Life) 相关CVE: CVE-2017-11554, CVE-2017-11555, CVE-2017-11556, CVE-2017-11565, CVE-2017-11600, CVE-2017-12962, CVE-2017-12963, CVE-2017-12964 复现与调试信息 复现步骤: - 使用POC文件执行 - 触发崩溃点在 的第150行和 的第202和236行 调试信息: - 使用AddressSanitizer检测到堆缓冲区溢出 - GDB调试信息详细描述了溢出并导致程序崩溃的具体地址和环境 评论与更新 评论1: 更新了libsass和sassc到3.4.5版本后,问题似乎有所变化,变为Invalid UTF-8错误 评论2: 该漏洞在Fedora 27开发周期中已被报告 评论3和4: Fedora 27接近生命周期结束,因此相关漏洞报告将被关闭