安全研究
安全漏洞
Ethereal协议解析器多个安全漏洞
发布日期:2004-05-14
更新日期:2004-05-20
受影响系统:Ethereal Group Ethereal 0.10.3
Ethereal Group Ethereal 0.10.2
Ethereal Group Ethereal 0.10.1
不受影响系统:Ethereal Group Ethereal 0.10.4
描述:
BUGTRAQ ID:
10347
CVE(CAN) ID:
CVE-2004-0504
Ethereal是一款免费开放源代码的网络协议分析程序。
Ethereal在多个协议分析时存在缓冲区溢出问题,远程攻击者可以利用这些漏洞使ethereal崩溃,或以进程权限在系统上执行任意指令。
具体相关问题如下:
1、特殊的SIP包在部分条件下可使Ethereal崩溃。
2、AIM解析器存在问题可导致Ethereal异常终止。
3、SPNEGO解析器可能会由于废弃NULL指针而引起程序崩溃。
4、MMSE解析器存在一个缓冲区溢出问题,可能导致任意指令执行。
<*来源:Ethereal
链接:
http://www.ethereal.com/appnotes/enpa-sa-00014.html
*>
建议:
厂商补丁:
Ethereal Group
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Ethereal Group Upgrade Ethereal 0.10.4
http://www.ethereal.com/download.html浏览次数:2984
严重程度:1(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |