发布日期：2002-08-20
更新日期：2002-08-22

受影响系统：

Novell NetBasic Scripting Handler
    - Novell NetWare 6
    - Novell NetWare 5.1

描述：

---

BUGTRAQ  ID: 5524
CVE(CAN) ID: CVE-2002-1418

NetBasic Scripting Server是一款NOVELL公司开发的由Web页访问数据库的技术，类似Perl代码执行。Perl -v显示版本信息，类似Microsoft公司的ASP与ADO等。

NetBasic Scripting Server存在一个缓冲区溢出漏洞，远程攻击者可以输入超长模块名造成缓冲区溢出，可能执行任意代码或造成拒绝服务攻击。

Netbasic在处理超长模块名时存在缓冲区溢出，攻击者可以提交包含超过230字节的模块名请求，可导致Netbasic Scripting Server崩溃。精心构建提交数据可能使攻击者以Netbasic Scripting server进程的权限执行任意指令。

<*来源：Rain Forrest Puppy （rfp@wiretrip.net）
  
  链接：http://support.novell.com/servlet/tidfinder/2963297
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Novell
------
Novell已经为此发布了一个安全公告（NOVL-2002-2963297）以及相应补丁:
NOVL-2002-2963297：NetBasic Buffer Overflow + Scripting Vulnerability
链接：http://support.novell.com/servlet/tidfinder/2963297

Novell公司已经提供补丁程序，但这个补丁是BETA版本，所以只有注册用户(不需要费用)才能下载：

http://support.novell.com/servlet/filedownload/ftf/nscript1.exe/

这个补丁展开来之后建立NSCRIPT.ZIP文件，解压这个ZIP文件到SYS：卷，然后重新启动服务器。

浏览次数：2843
严重程度：0（网友投票）