首页 -> 安全研究

安全研究

安全漏洞
FreeBSD-SA-00:59 pine4 port存在溢出漏洞

发布日期:2000-10-31
更新日期:2000-10-31

受影响系统:
pine4/pine4-ssl/zh-pine4/iw-pine4 4.21以及以前版本(ports)

  - FreeBSD 3.5.1
  - FreeBSD 4.1.1
  
描述:

4.21 版以及以前的pine4 port程序存在一个堆栈溢出漏洞,允许远程用户通
过发送一封特殊格式的邮件来在收信方主机上执行任意代码。溢出发生在对
一个打开的目录进行周期性新信件检查的时候。

pine4 port缺省没有安装,也不是FreeBSD自身的一部分:它只是很多移植到
FreeBSD下的程序之一,FreeBSD收集了很多这样的程序,包含4000多个第三方
的应用程序,它们可以根据用户的需要选择安装到FreeBSD系统中。

注:参见http://security.nsfocus.com/showQuery.asp?bugID=873

<* 来源: arkane (arkane@SPEAKEASY.ORG)
          FreeBSD Security Advisory: FreeBSD-SA-00:59 pine
*>


建议:
临时解决方法:

NSFOCUS建议您在没有升级程序之前按照FreeBSD安全公告中的方法去做:

如果您已经安装了pin4 port/package, 暂时卸载它。


厂商补丁:

您可以采用下列方法中的任意一种:

1) 升级您的整个ports集合,并重建pine4 port.

2) 卸载旧的软件版本并安装正确日期之后的新软件包:

ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/mail/pine-4.21_1.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/mail/pine-4.21_1.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/mail/pine-4.21_1.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/mail/pine-4.21_1.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/mail/pine-4.21_1.tgz

3) 从下列地址下载一个新的port架构:

http://www.freebsd.org/ports/

并使用它重建那个port.

4) 使用portcheckout工具的自动更新选项。这个工具通常在:/usr/ports/devel/portcheckout
您也可以从下列地址下载:

ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/devel/portcheckout-2.0.tgz


浏览次数:5652
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障