发布日期：2003-01-06
更新日期：2003-01-10

受影响系统：

Mcrypt libmcrypt 2.5.3
Mcrypt libmcrypt 2.5.2
Mcrypt libmcrypt 2.5.1-r4

描述：

---

BUGTRAQ  ID: 6512
CVE(CAN) ID: CVE-2003-0032

limbcrypt是一款可代替标准UNIX crypt()的加密相关模块，可动态装载。

limbcrypt在装载算法时存在内存泄露问题，远程攻击者可以利用这个漏洞提交重复请求，使mcrypt库泄露大量内存而耗尽系统资源，造成拒绝服务攻击。

当libmcrypt通过libtool每次装载算法时，会有一小部分内存泄露(大概几K字节)，在有些长久服务的环境下(WEB服务)，攻击者向利用mcrypt库的应用程序重复提交请求，可导致消耗所有系统内存而产生拒绝服务攻击。

<*来源：Ilia A. （ilia@prohost.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104162752401212&w=2
*>

建议：

---

厂商补丁：

Mcrypt
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Mcrypt Upgrade libmcrypt 2.5.5
http://mcrypt.hellug.gr/lib/index.html

浏览次数：2569
严重程度：0（网友投票）