PCRE 规则表达式堆缓冲区溢出漏洞

BUGTRAQ ID: 30087
CVE ID：CVE-2008-2371
CNCVE ID：CNCVE-20082371

PCRE(Perl兼容正则表达式)库是一款开放源代码的软件，可提供正则表达式支持。
PCRE pcre_compile.c文件存在堆溢出，远程攻击者可以利用漏洞以应用程序权限执行任意指令。
当PCRE在启动模式下指定选项时，为了避免将其不需要编译到字节代码，如通过pcre_compile()选项指定的方式传送回调用程序(如/(?i)a|b/ == /a|b/i)，程序会正常处理，但是模式包含多个分支的情况下，新选项会意外的回传过远，因此当多有多个分支时，只有第一个分支获得新的标记，而在第二次编译时新标记会一直设置，导致大小计算传送和实际的编译传送之间出现不匹配，可触发堆溢出。

RedHat Fedora 9 0
RedHat Fedora 8 0
PCRE PCRE 7.7
GNOME glib 2.16.3
Debian Linux 4.0 sparc
Debian Linux 4.0 s/390
Debian Linux 4.0 powerpc
Debian Linux 4.0 mipsel
Debian Linux 4.0 mips
Debian Linux 4.0 m68k
Debian Linux 4.0 ia-64
Debian Linux 4.0 ia-32
Debian Linux 4.0 hppa
Debian Linux 4.0 arm
Debian Linux 4.0 amd64
Debian Linux 4.0 alpha
Debian Linux 4.0
可参考如下安全公告获得补丁信息：
<a href=“http://sourceforge.net/projects/pcre/” target=“_blank”>http://sourceforge.net/projects/pcre/</a>