发布日期：2002-02-25
更新日期：2002-02-28

受影响系统：

Ecartis Ecartis 1.0.0 snapshot 20020121
Listar Listar 0.129a
Listar Listar 0.127a
Listar Listar 0.126a

不受影响系统：

Ecartis Ecartis 1.0.0 snapshot 20020125

描述：

---

BUGTRAQ  ID: 4176
CVE(CAN) ID: CVE-2002-0467

Ecartis是Listar软件的新名字，Listar是一个邮件列表管理软件包，运行于Linux、BSD和其他Unix类操作系统下。

Ecartis软件实现上存在缓冲区溢出漏洞，可能使远程攻击者通过溢出攻击在主机上执行任意指令。

Ecartis对用户输入未做充分过滤，远程攻击者可能通过提交精心构造的数据给服务器，可能导致缓冲区溢出使攻击者执行任意指令，通常Listar是以listar用户的身份执行的，所以攻击者可能得到一般本地普通用户访问权限。


<*来源：Ecartis core development team
  
  链接：http://marc.10east.com/?l=listar-announce&m=101452659032650&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 设置访问过滤，只允许可信用户能访问到此程序。

厂商补丁：

Ecartis
-------
目前厂商已经发布了升级程序以修复这个安全问题，请到厂商的站点下载：

Ecartis Upgrade ecartis-1.0.0-snap20020125.tar.gz
ftp://ftp.ecartis.org/pub/ecartis/snapshots/tar/ecartis-1.0.0-snap20020125.tar.gz

Ecartis Upgrade ecartis-1.0.0-snap20020125.i386.rpm
ftp://ftp.ecartis.org/pub/ecartis/snapshots/rpm/ecartis-1.0.0-snap20020125.i386.rpm

浏览次数：2943
严重程度：0（网友投票）