| タイトル | Uutilsのuutils coreutilsにおける不適切な短絡評価に関する脆弱性 |
|---|---|
| 概要 | uutils coreutils の expr ユーティリティにおける論理エラーにより、プログラムが実行フェーズではなく解析フェーズでかっこ付き部分式を評価してしまいます。この実装の欠陥によって、論理和 (|) および論理積 (&) 演算で適切なショートサーキット処理が行われません。その結果、ショートサーキットによって無視されるべき「死んだ」分岐内で発生した算術エラー(ゼロ除算など)が致命的なエラーとして発生します。GNU expr の動作との乖離により、シェルスクリプト内の保護された式が期待される真偽値を返さず、重大なエラーで失敗し、スクリプトの早期終了や GNU 互換のシェル制御フローの破損を引き起こす可能性があります。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月22日0:00 |
| 登録日 | 2026年5月7日11:29 |
| 最終更新日 | 2026年5月7日11:29 |
| CVSS3.0 : 低 | |
| スコア | 3.3 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| Uutils |
| uutils coreutils 0.8.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月07日] 掲載 |
2026年5月7日11:29 |
| 概要 | A logic error in the expr utility of uutils coreutils causes the program to evaluate parenthesized subexpressions during the parsing phase rather than at the execution phase. This implementation flaw prevents the utility from performing proper short-circuiting for logical OR (|) and AND (&) operations. As a result, arithmetic errors (such as division by zero) occurring within "dead" branches, branches that should be ignored due to short-circuiting, are raised as fatal errors. This divergence from GNU expr behavior can cause guarded expressions within shell scripts to fail with hard errors instead of returning expected boolean results, leading to premature script termination and breaking GNU-compatible shell control flow. |
|---|---|
| 公表日 | 2026年4月23日2:16 |
| 登録日 | 2026年4月25日4:06 |
| 最終更新日 | 2026年4月23日6:23 |