发布日期：2002-10-21
更新日期：2002-10-25

受影响系统：

AN AN-HTTPd 1.41 c
AN AN-HTTPd 1.41 b
AN AN-HTTPd 1.41
AN AN-HTTPd 1.40
AN AN-HTTPd 1.39
AN AN-HTTPd 1.38

不受影响系统：

AN AN-HTTPd 1.41 d

描述：

---

BUGTRAQ  ID: 6012
CVE(CAN) ID: CVE-2002-1930

AN HTTPD是一款日文多用户服务程序，可以以SOCKS4服务程序工作。

AN HTTPD作为以SOCKS4服务程序工作时对用户提交的超长用户名SOCKS4请求处理不正确，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可以以AN HTTPD进程权限在系统上执行任意指令。

当AN HTTPD作为SOCKS4服务器时，对用户名处理不安全，攻击者可以在SOCKS4请求中附带超长的用户名，可导致AN HTTPD产生缓冲区溢出，精心构建提交数据可以以AN HTTPD进程在系统上执行任意指令。

<*来源：Kanatoko （anvil@jumperz.net）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103521450513208&w=2
*>

建议：

---

厂商补丁：

AN
--
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

AN Upgrade httpd141d.zip
http://www.st.rim.or.jp/~nakata/httpd141d.zip

浏览次数：3654
严重程度：0（网友投票）