安全研究
安全漏洞
ClanLib HOME环境变量缓冲区溢出漏洞
发布日期:2002-01-15
更新日期:2002-01-18
受影响系统:ClanLib ClanLib 5.0
- Conectiva Linux 7.0
- Conectiva Linux 6.0
- Mandrake Linux 8.1
描述:
BUGTRAQ ID:
3877
CVE(CAN) ID:
CVE-2002-0125
ClanLib是一个跨平台的游戏开发程序库。它包括了很多与图形,声音和资源管理相关的底层功能,被很多Linux发行版及Windows平台所使用。
ClanLib在处理环境变量时存在缓冲区溢出漏洞,攻击者可以通过溢出攻击以游戏进程的权限执行任意指令。
如果给HOME环境变量设置一个超长的字符串,ClanLib就会发生缓冲区溢出。在某些情况下可能改写程序的返回地址,导致执行攻击者指定的任意指令,在某些系统上,指令可能是以‘games’的组权限执行的。使用了ClanLib库的游戏程序如果设置了suid/sgid属性,就可能都存在安全问题。
<*来源:KF (
dotslash@snosoft.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-01/0187.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 去掉相关游戏程序的suid,sgid位。
厂商补丁:
ClanLib
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://clanlib.org/intro.html浏览次数:3018
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |