| タイトル | Uutilsのuutils coreutilsにおける入力確認に関する脆弱性 |
|---|---|
| 概要 | uutils coreutils の env ユーティリティにおけるロジックエラーにより、-S (split-string) オプションを利用した際にコマンドライン引数を正しく解析できなくなる問題があります。GNU env ではシングルクォート内のバックスラッシュは文字通り扱われます(\ と \' の例外を除きます)。しかし、uutils の実装ではこれらのシーケンスを誤って検証しようとするため、有効だが認識されないシーケンス(例:\a や \x)に遭遇すると「invalid sequence」エラーが発生し、プロセスはステータス125で即座に終了します。この GNU の動作との違いにより、標準の split-string セマンティクスに依存する自動化スクリプトや管理作業の互換性が破壊され、これらの操作はローカルでのサービス拒否につながります。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月22日0:00 |
| 登録日 | 2026年4月27日11:17 |
| 最終更新日 | 2026年4月27日11:17 |
| CVSS3.0 : 低 | |
| スコア | 3.3 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Uutils |
| uutils coreutils |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日11:17 |
| 概要 | A logic error in the env utility of uutils coreutils causes a failure to correctly parse command-line arguments when utilizing the -S (split-string) option. In GNU env, backslashes within single quotes are treated literally (with the exceptions of \\ and \'). However, the uutils implementation incorrectly attempts to validate these sequences, resulting in an "invalid sequence" error and an immediate process termination with an exit status of 125 when encountering valid but unrecognized sequences like \a or \x. This divergence from GNU behavior breaks compatibility for automated scripts and administrative workflows that rely on standard split-string semantics, leading to a local denial of service for those operations. |
|---|---|
| 公表日 | 2026年4月23日2:16 |
| 登録日 | 2026年4月25日4:05 |
| 最終更新日 | 2026年4月25日4:06 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:uutils:coreutils:-:*:*:*:*:rust:*:* | |||||