发布日期：2002-05-03
更新日期：2002-05-09

受影响系统：

4D WebServer 6.5.7
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98 SE
    - Microsoft Windows 2000 SP3

不受影响系统：

4D WebServer 6.7.4
    - Apple MacOS 9.2.2
4D WebServer 6.7.4
    - Apple MacOS 9.2.1
4D WebServer 6.7.4
    - Apple MacOS 9.2
4D WebServer 6.7.4
    - Apple MacOS 9.1
4D WebServer 6.7.4
    - Apple MacOS 9.0.4
4D WebServer 6.7.4
    - Apple MacOS 9.0
4D WebServer 6.7.4
    - Apple MacOS 8.6
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0 SP6a
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0 SP6
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0 SP5
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0 SP4
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0 SP3
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0 SP2
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0 SP1
4D WebServer 6.7.4
    - Microsoft Windows NT 4.0
4D WebServer 6.7.4
    - Microsoft Windows 98 SE
4D WebServer 6.7.4
    - Microsoft Windows 98
4D WebServer 6.7.4
    - Microsoft Windows 2000 SP3
4D WebServer 6.7.4
    - Microsoft Windows 2000 Server SP2
4D WebServer 6.7.4
    - Microsoft Windows 2000 Server SP1
4D WebServer 6.8.1
    - Apple MacOS 9.2.2
4D WebServer 6.8.1
    - Apple MacOS 9.2.1
4D WebServer 6.8.1
    - Apple MacOS 9.2
4D WebServer 6.8.1
    - Apple MacOS 9.1
4D WebServer 6.8.1
    - Apple MacOS 9.0.4
4D WebServer 6.8.1
    - Apple MacOS 9.0
4D WebServer 6.8.1
    - Apple MacOS 8.6
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP6a
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP6
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP5
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP4
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP3
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP2
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP1
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0
4D WebServer 6.8.1
    - Microsoft Windows 98 SE
4D WebServer 6.8.1
    - Microsoft Windows 98
4D WebServer 6.8.1
    - Microsoft Windows 2000 SP3
4D WebServer 6.8.1
    - Microsoft Windows 2000 Server SP2
4D WebServer 6.8.1
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 4665
CVE(CAN) ID: CVE-2002-0578

4D WebServer是一款集成WEB开发和服务的客户端/服务器端数据库管理系统，可使用在Microsoft Windows和MacOS操作系统下。

4D WebServer在基本验证模式处理上存在问题，可导致远程攻击者以4D WebServer进程的权限在系统上执行任意指令。

由于4D WebServer对基本验证模式中的用户名/密码字段缺少正确充分的边界检查，攻击者可以提交超长的用户名/密码数据给4D WebServer系统，将导致系统出现缓冲区溢出，精心构建字符串数据攻击者可能以4D WebServer进程的权限在目标系统中执行任意指令。

程序对缓冲数据进行了一些合法性检查，如果缓冲中包含非法字符可导致拷贝过程终止，所以增加了攻击者的利用难度。

<*来源：Jonas L?ndin （Jonas.Landin@ixsecurity.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0013.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用防火墙对4D WebServer进行访问控制，只允许可信用户访问。

厂商补丁：

4D
--
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

请升级到4D Webserver最新版本：4D 6.7.4 或者 4D 6.8.1.

http://www.starnine.com/index.html

浏览次数：3106
严重程度：0（网友投票）