安全研究
安全漏洞
Pam-PGSQL用户名记录远程格式串处理漏洞
发布日期:2003-08-12
更新日期:2003-08-15
受影响系统:Leon J Breedt pam-pgsql 0.5.1
- FreeBSD 4.4
Leon J Breedt pam-pgsql 0.5.2
- Debian Linux 3.0
描述:
BUGTRAQ ID:
8379
CVE(CAN) ID:
CVE-2003-0672
pam-pgsql是一款用于PostgreSQL数据库接口的PAM认证模块。
pam-pgsql不正确处理用户提交的用户名,当记录消息时可导致发生格式字符串问题。
攻击者提交恶意格式字符串作为用户名给使用PAM验证的程序(如HTTP、SSH、telnet),用户名在随后的pam-pqsql记录日志的过程中会发生格式串处理问题,导致进程内存中的敏感信息被破坏 ,精心构建提交数据可能以使用PAM验证的进程权限在系统上执行任意指令。
<*来源:Debian Security Advisory
链接:
http://www.debian.org/security/2003/dsa-370
*>
建议:
厂商补丁:
Debian
------
http://www.debian.org/security/2003/dsa-370浏览次数:3160
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |