发布日期：2003-06-10
更新日期：2003-06-17

受影响系统：

mnoGoSearch mnoGoSearch 3.1.20

描述：

---

BUGTRAQ  ID: 7865
CVE(CAN) ID: CVE-2003-0436

mnoGoSearch是一款多功能的基于WEB的搜索引擎。

mnoGoSearch对用户提交的'ul'变量值缺少正确的边界缓冲区检查，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以WEB进程权限在系统上执行任意指令。

'ul'变量用于指定搜索的URL值，攻击者提供超过5000字节的字符串作为'ul'变量，可覆盖堆栈中任意地址，精心构建提交数据可能以WEB权限在系统上执行任意指令。

<*来源：pokleyzz （pokleyzz@scan-associates.net）
  
  链接：http://www.scan-associates.net/papers/mnogosearch.txt
*>

建议：

---

厂商补丁：

mnoGoSearch
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

mnoGoSearch mnoGoSearch 3.2.10:

mnoGoSearch Upgrade mnoGoSearch CVS
http://www.mnogosearch.org/download.html

浏览次数：2790
严重程度：0（网友投票）