发布日期：2001-02-22
更新日期：2001-02-22

受影响系统：

4.16以及4.90beta 3版之前的所有平台的Analog

不受影响系统：

Analog 4.16
Analog 4.90 beta 3

描述：

---

BUGTRAQ  ID: 2377
CVE(CAN) ID: CVE-2001-0301
  
Analog（http://www.analog.cx）是一个提供了某些高级特性的免费日志分
析工具，它最初是由Stephen Turner编写的。

该软件允许用户通过CGI脚本和HTTP表单的方法来远程访问网络统计数据。当
收到查询请求时，CGI脚本访问Analog，并将统计结果发送到Web页面。由于
Analog存在缓冲区溢出，而且未正确检查CGI程序的输入，用户可能提供一个
很长的ALIAS字段给Analog，这将导致缓冲区溢出。

本漏洞使得恶意用户可以远程执行任意代码并以httpd进程的权限执行任意命令。

<* 来源：Stephen Turner(S.R.E.Turner@statslab.cam.ac.uk) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

建议：

---

厂商补丁：

Analog 4.15和以前的版本应升级到4.16，而4.90 beta 2和以前的版本应升级到
4.90 beta 3：
http://www.analog.cx/download.html


浏览次数：3744
严重程度：0（网友投票）