发布日期：2003-03-02
更新日期：2003-03-13

受影响系统：

DeleGate DeleGate 8.4.0 (Windows)
DeleGate DeleGate 8.3.4 (UNIX)

不受影响系统：

DeleGate DeleGate 8.5.0

描述：

---

DeleGate是一款多功能代理服务器，包括缓冲、路由，防火墙等功能。

DeleGate处理robot.txt文件中的User-Agent字段缺少正确检查，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以DeleGate进程权限在系统上执行任意指令。

当客户端通过DeleGate从服务器站点获得robot.txt文件时，DeleGate在以HTTP-PROXY运行时默认会基于这个文件增加某些规则。

而由于对User-Agent行中的数据缺少正确检查，如果robots.txt文件中的User-Agent字段包含超长的字符串，处理时可导致DeleGate发生缓冲区溢出，精心构建字符串数据可能以DeleGate进程权限在系统上执行任意指令。

<*来源：SNS Advisory （snsadv@lac.co.jp）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104739958125456&w=2
*>

建议：

---

厂商补丁：

DeleGate
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载升级到Delegate 8.5.0版本：

http://www.delegate.org/delegate/

浏览次数：3567
严重程度：0（网友投票）