发布日期：2001-12-19
更新日期：2001-12-24

受影响系统：

xelia Pfinger 0.7.5
    - Unix系统  
xelia Pfinger 0.7.6
    - Unix系统  
xelia Pfinger 0.7.7
    - Unix系统

不受影响系统：

xelia Pfinger 0.7.8
    - Unix系统

描述：

---

BUGTRAQ  ID: 3725
CVE(CAN) ID: CVE-2001-1215

PFinger是标准的Finger协议守护程序，同时也支持PIP协议，该守护程序缺省以“nobody”身份运行，还包含一个图形化的客户端。

其服务器程序和客户端程序都存在一个安全问题，可能导致执行任意代码。

与某个用户相关的Finger数据，包括“.plan”文件，都被作为格式串传递给“printf”函数调用，通过精心构造这些数据，就可能在服务器端或客户端执行任意代码。

<*来源：Beno?t Roussel （benoit.roussel@intexxia.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0224.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止Finger服务

厂商补丁：

xelia
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.xelia.ch/unix/pfinger/download

浏览次数：2875
严重程度：0（网友投票）