NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

4D WebServer超长HTTP请求远程缓冲区溢出漏洞

发布日期：2002-06-18
更新日期：2002-06-26

受影响系统：

4D WebServer 6.7.3
    - Apple MacOS 9.2.2
    - Apple MacOS 9.2.1
    - Apple MacOS 9.2
    - Apple MacOS 9.1
    - Apple MacOS 9.0.4
    - Apple MacOS 9.0
    - Apple MacOS 8.6
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

不受影响系统：

4D WebServer 6.8.1
    - Apple MacOS 9.2.2
4D WebServer 6.8.1
    - Apple MacOS 9.2.1
4D WebServer 6.8.1
    - Apple MacOS 9.2
4D WebServer 6.8.1
    - Apple MacOS 9.1
4D WebServer 6.8.1
    - Apple MacOS 9.0.4
4D WebServer 6.8.1
    - Apple MacOS 9.0
4D WebServer 6.8.1
    - Apple MacOS 8.6
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP6a
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP6
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP5
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP4
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP3
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP2
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0 SP1
4D WebServer 6.8.1
    - Microsoft Windows NT 4.0
4D WebServer 6.8.1
    - Microsoft Windows 98 SE
4D WebServer 6.8.1
    - Microsoft Windows 98
4D WebServer 6.8.1
    - Microsoft Windows 2000 SP3
4D WebServer 6.8.1
    - Microsoft Windows 2000 Server SP2
4D WebServer 6.8.1
    - Microsoft Windows 2000 Server SP1

描述：

BUGTRAQ  ID: 5045
CVE(CAN) ID: CVE-2002-0966

4D WebServer是一款集成WEB开发和服务的客户端/服务器端数据库管理系统，可使用在Microsoft Windows和MacOS操作系统下。

4D WebServer对HTTP请求缺少充分的边界检查，远程攻击者可以利用此漏洞进行缓冲区溢出攻击。

4D WebServer对用户提交的HTTP请求没有正确的处理，远程攻击者可以提交超长的HTTP请求而导致服务程序产生缓冲区溢出，精心构建提交数据可能以WEB进程的权限在系统上执行任意指令。

<*来源：Alfred Goldberg （agoldberg@absoluteitsolutions.com）

  链接：http://archives.neohapsis.com/archives/bugtraq/2002-06/0208.html
*>

建议：

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用防火墙对web服务进行访问控制，只允许可信用户访问。

厂商补丁：

4D
--
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.4d.com/

浏览次数：3029
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客