首页 -> 安全研究
安全研究
安全漏洞
TalentSoft Web+ Web markup语言存在缓冲溢出漏洞
发布日期:2002-03-13
更新日期:2002-03-13
受影响系统:
TalentSoft Web+ Server 4.6描述:
- FreeBSD 3.x
- FreeBSD 2.x
- Linux系统 libc 5x
- Microsoft Windows NT 4.0
- Microsoft Windows 98
- Microsoft Windows 95
- RedHat Linux 5.x
- RedHat Linux 4.x
- Sun Solaris 8.0 sparc
- Sun Solaris 8.0 x86
TalentSoft Web+ Server 5.0
- Linux系统 libc 5x
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
BUGTRAQ ID: 4282
CVE(CAN) ID: CVE-2002-0450
TalentSoft Web+是一款开发基于WEB的客户端/服务器端应用程序的环境,运行在Microsoft windows 9x/NT/2000和Unix操作系统上。
TalentSoft Web+的Web markup语言(.wml)存在远程缓冲区溢出漏洞,可以导致远程攻击者利用这个漏洞获得httpd权限的访问。
由于对TalentSoft Web+对文件名的边界检查缺少正确检查,远程用户可以提交包含超长名的.wml文件给TalentSoft Web+服务程序,导致程序出现返回地址覆盖,以httpd的权限执行任意代码。
发送任意数据给服务器程序,会导致对TalentSoft Web+崩溃。
<*来源:NGSSoftware Insight Security Research (nisr@nextgenss.com)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-03/0144.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用防火墙对TalentSoft Web+服务进行访问控制,不允许不可信用户访问。
厂商补丁:
TalentSoft
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
TalentSoft Web+ Server 4.6:
TalentSoft Patch webplus_46_security_patch2
ftp://ftp.talentsoft.com/download/webplus/windows/webplus_46_security_patch2.exe
Windows
TalentSoft Patch webplus_46_linux_dynamic_security_patch2
ftp://ftp.talentsoft.com/download/webplus/unix/patches/webplus_46_linux_dynamic_security_patch2.tar.gz
Linux (libc5)
TalentSoft Patch webplus_46_solaris_sparc_security_patch2
ftp://ftp.talentsoft.com/download/webplus/unix/patches/webplus_46_solaris_sparc_security_patch2.tar.gz
Sun Solaris
TalentSoft Web+ Server 5.0:
TalentSoft Patch webplus_50_security_patch
ftp://ftp.talentsoft.com/download/webplus/windows/webplus_50_security_patch.exe
Windows
TalentSoft Patch webplus_50_linux_dynamic_security_patch
ftp://ftp.talentsoft.com/download/webplus/unix/patches/webplus_50_linux_dynamic_security_patch.tar.gz
Linux (libc5)
浏览次数:3562
严重程度:0(网友投票)
绿盟科技给您安全的保障