安全研究
安全漏洞
Talentsoft's Web+ Cookie处理远程缓冲区溢出漏洞
发布日期:2002-04-16
更新日期:2002-04-19
受影响系统:
TalentSoft Web+ 5.0
TalentSoft Web+ 4.6
描述:
Talentsoft's Web+是一款强大复杂的用于建立基于WEB的客户端/服务器端应用程序的开发环境。
Talentsoft's Web+在处理超长Cookie时存在漏洞,可导致远程攻击者进行缓冲区溢出攻击,并以IIS进程的权限执行任意命令。
攻击者可以请求WEB上的任意WML文件并提交超长Cookie,可导致产生缓冲区溢出,并可以覆盖进程堆栈中的返回地址。
成功地利用这个漏洞,对于IIS 4.0,远程攻击者可以获取SYSTEM权限;对于IIS 5.0/5.1,攻击者可以获取IWAM_computername用户的权限。
<*来源:NGSSoftware Insight Security Research (
nisr@nextgenss.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-04/0210.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 对服务端口设置访问过滤,只允许合法可信的用户访问系统。
厂商补丁:
TalentSoft
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.talentsoft.com/products/webplus/index.en.wml
浏览次数:3661
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |