安全研究
安全漏洞
MNews Server应答远程缓冲溢出漏洞
发布日期:2002-05-31
更新日期:2002-06-05
受影响系统:Matsushita Research MNews 1.2.2
- FreeBSD 4.5
- FreeBSD 4.4
- FreeBSD 4.3
- FreeBSD 4.2
- FreeBSD 4.1
描述:
BUGTRAQ ID:
4900
CVE(CAN) ID:
CVE-2002-0909
Mnews是一款基于控制台的邮件和新闻客户端,主要设计用于处理日文和英文字符集。
Mnews对服务器响应的应答信息缺少正确的处理,远程攻击者可以伪造服务器应答信息,导致Mnews产生缓冲区溢出。
Mnews对服务器提交的200应答缺少正确的缓冲区边界检查,接收到包含超长字符串作为参数的200响应,可导致Mnews产生缓冲区溢出,攻击者可以精心构建应答数据而导致以Mnews进程的权限在目标系统上执行任意指令。
<*来源:zillion (
zillion@snosoft.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-05/0287.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用chmod a-s 去掉'mnews'程序的S位。
厂商补丁:
Matsushita Research
-------------------
目前厂商已经不再维护这个软件了,请换用其他有类似功能的软件。
浏览次数:2813
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |