首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第36期->最新漏洞
日期:2002-11-01
发布日期:2002-10-08
更新日期:2002-10-11
受影响系统:
NetBSD NetBSD talkd
- NetBSD 1.6
- NetBSD 1.5.3
- NetBSD 1.5.2
- NetBSD 1.5.1
- NetBSD 1.5
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 5910
NetBSD是一款免费开放源代码的UNIX操作系统。
NetBSD的talkd没有正确检查进入系统的消息,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击。
NetBSD的talkd服务没有对进入的信息进行正确的缓冲区边界检查,盲目把数据拷贝到固定的缓冲区中,可导致产生缓冲区溢出,精心构建提交数据可能以root用户的权限在系统上执行任意指令,不过没有得到证实。
<*来源:xs (xs@kittenz.org)
链接:ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-019.txt.asc
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时关闭NetBSD的talkd服务。
厂商补丁:
NetBSD
------
NetBSD已经为此发布了一个安全公告(NetBSD-SA2002-019)以及相应补丁:
NetBSD-SA2002-019:Buffer overrun in talkd
链接:ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-019.txt.asc
* NetBSD-current:
系统运行在2002-09-20之前的NetBSD-current版本必须升级到2002-09-20 NetBSD-current版本或者之后的版本。
下面的目录必须从netbsd-current CVS branch (aka HEAD)升级:
libexec/talkd
要升级CVS,重建和重安装talkd:
# cd src
# cvs update -d -P libexec/talkd
# cd libexec/talkd
# make cleandir dependall
# make install
* NetBSD 1.6:
系统运行2002-10-03之前的NetBSD 1.6 branch必须升级到2002-10-03 NetBSD 1.6 branch版本或者之后的版本。
下面的目录必须从netbsd-1-6 CVS branch上升级:
libexec/talkd
要升级CVS,重建和重安装talkd:
# cd src
# cvs update -d -P -r netbsd-1-6 libexec/talkd
# cd libexec/talkd
# make cleandir dependall
# make install
* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:
系统运行2002-09-20之前的NetBSD 1.5 branch必须升级到2002-10-03 NetBSD 1.5 branch版本或者之后的版本。
下面的目录必须从netbsd-1-5 CVS branch上升级:
libexec/talkd
要升级CVS,重建和重安装talkd:
# cd src
# cvs update -d -P -r netbsd-1-5 libexec/talkd
# cd libexec/talkd
# make cleandir dependall
# make install
版权所有,未经许可,不得转载