发布日期：2002-11-23
更新日期：2002-11-28

受影响系统：

Linksys EtherFast BEFSR41 Router 1.43
Linksys EtherFast BEFSR41 Router 1.42.7
Linksys EtherFast BEFSR81 Router 2.42.7
Linksys EtherFast BEFSR11 Router 1.43
Linksys EtherFast BEFSR11 Router 1.42.7
Linksys EtherFast BEFSRU31 Router 1.43
Linksys EtherFast BEFSRU31 Router 1.42.7
Linksys BEFW11S4 1.4.3
Linksys BEFW11S4 1.4.2.7
Linksys BEFN2PS4 1.42.7
Linksys BEFSX41 1.42.7

不受影响系统：

Linksys EtherFast BEFSR41 Router 1.43.3
Linksys EtherFast BEFSR11 Router 1.43.3
Linksys EtherFast BEFSRU31 Router 1.43.3
Linksys BEFW11S4 1.43.3

描述：

---

BUGTRAQ  ID: 6208
CVE(CAN) ID: CVE-2002-1312

Linksys开发了多种宽带路有器设备，包括了BEFW11S4、BEFSRU31等，其中都包含WEB管理接口。

路由器的WEB管理接口对超长密码处理不正确，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，使设备崩溃。

攻击者可以提交密码字段包含超长字符串的请求给路由器的WEB管理接口系统，当设备尝试处理此畸形输入请求时，可导致设备崩溃。需要重新启动恢复正常功能。

默认情况下远程管理接口不启用。

<*来源：Alex S. Harasic （aharasic@terra.cl）
  
  链接：http://online.securityfocus.com/bid/6208
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 关闭远程管理接口。

厂商补丁：

Linksys
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

固件下载：

Linksys BEFW11S4 1.4.2 .7:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

Linksys BEFW11S4 1.4.3:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

Linksys EtherFast BEFSR41 Router 1.42.7:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

Linksys EtherFast BEFSR11 Router 1.42.7:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

Linksys EtherFast BEFSRU31 Router 1.42.7:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

Linksys BEFVP41 1.42.7:
Linksys BEFSX41 1.42.7:
Linksys BEFN2PS4 1.42.7:
Linksys HPRO200 1.42.7:
Linksys EtherFast BEFSR41 Router 1.43:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

Linksys EtherFast BEFSR11 Router 1.43:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

Linksys EtherFast BEFSRU31 Router 1.43:

Linksys Upgrade Firmware 1.43.3
http://www.linksys.com/download/

浏览次数：2892
严重程度：0（网友投票）