gnuserv MIT-MAGIC-COOKIE 远程缓冲区溢出漏洞
2008-04-10 03:05:02来源:互联网 阅读 ()
发布日期:2001-02-12
更新日期:2001-02-12
受影响系统:
Martin Schwenkes gnuserv 3.12 and Previous描述:
XEmacs Development Team XEmacs 21.2.43 and Previous
XEmacs Development Team XEmacs 2.1.13 and Previous
- MandrakeSoft Corporate Server 1.0.1
- MandrakeSoft Linux Mandrake 7.2
- MandrakeSoft Linux Mandrake 7.1
- MandrakeSoft Linux Mandrake 7.0
- MandrakeSoft Linux Mandrake 6.1
- MandrakeSoft Linux Mandrake 6.0
- RedHat Linux 6.2
- RedHat Linux 7.0
BUGTRAQ ID: 2333
gnuserv是随xemacs分发的一种自由软件包,支持客户机/服务器模式,目前由
Jan Vroonhof维护。
gnuserv的远程连接采用MIT-MAGIC-COOKIE验证机制,然而它依赖客户端发送的magic
cookie长度正常,并未做适当的检查,潜在地允许远程客户端伪造magic cookie,进
而造成服务端存放cookie的缓冲区发生溢出。远程用户还可以自己指定magic cookie
的长度,比如一个字节,然后就可以进行暴力穷举攻击。
这些漏洞使得远程用户有可能成功连接到gnuserv服务器,潜在地以gnuserv服务器所
拥有的权限执行任意代码。
<* 来源:Klaus Frank (klausf@i3.informatik.rwth-aachen.de) *>
建议:
厂商补丁:
升级到Xemacs 21.1.14
http://www.xemacs.org/Releases/21.1.14.html
或已经修复的gnuserv 3.12.1:
http://www.linuxcare.com.au/people/martins/hacks/emacs/src/gnuserv-3.12.1.tar.gz
一些Linux厂商也发布了相应的安全公告和升级程序(链接见公告内):
【Mandrake Linux】
Mandrake Advisory MDKSA-2001:019 xemacs
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-019.php3?dis=7.2
【Redhat Linux】
[RHSA-2001:010-06] Updated XEmacs packages available for Red Hat Linux 7
https://listman.redhat.com/pipermail/redhat-watch-list/2001-February/000248.html
[RHSA-2001:011-03] Updated XEmacs packages available for Red Hat Powertools 6.2
https://listman.redhat.com/pipermail/redhat-watch-list/2001-February/000249.html
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
