发布日期：2003-09-18
更新日期：2003-09-23

受影响系统：

Midnight Commander Midnight Commander 4.6
Midnight Commander Midnight Commander 4.5.55
Midnight Commander Midnight Commander 4.5.52

描述：

---

BUGTRAQ  ID: 8658

Midnight Commander是一个UNIX系统下使用的文件管理工具。

Midnight Commander使用未初始化的缓冲区处理VFS的符号连接，本地攻击者利用这个漏洞可以进行缓冲区溢出攻击。

攻击者可以构建特殊的文档，诱使其他高级用户使用Midnight Commander打开时，可触发溢出，精心构建文档数据可能提升权限。

<*来源：Ilya Teterin （alienhard@mail.ru）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106399528518704&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Ilya Teterin （alienhard@mail.ru）提供了如下测试方法：

http://buggzy.narod.ru/exp.tgz

建议：

---

厂商补丁：

Midnight Commander
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ibiblio.org/mc/

浏览次数：2713
严重程度：0（网友投票）