发布日期：2003-05-27
更新日期：2003-06-02

受影响系统：

The Uptimes Project upclient 5.0b7

不受影响系统：

The Uptimes Project upclient 5.0b8

描述：

---

BUGTRAQ  ID: 7703
CVE(CAN) ID: CVE-2003-0408

Uptime Client是一款跟踪用户启动时间，并能发送给服务器，使用户可以对其他数据进行比较统计。

upclient程序没有正确对命令行参数的边界缓冲区进行检查，本地攻击者可以利用这个漏洞进行缓冲区溢出攻击，可以'kmem'权限在系统上执行任意指令。

本地攻击者可以提交超长字符串作为命令行参数提交给upclient，可触发缓冲区溢出，精心构建提交字符串数据可能以'kmem'权限在系统上执行任意指令。

不过Upclient一般以可选程序安装，默认在FreeBSD中没有安装。

<*来源：Carsten Klapp （carstenklapp@users.sf.net）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=105405629622652&w=2
*>

建议：

---

厂商补丁：

The Uptimes Project
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载升级程序UpClient 5.0b8：

https://sourceforge.net/projects/upclient/

浏览次数：2720
严重程度：0（网友投票）