首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第15期->最新漏洞
日期:2000-11-04
受影响的系统:
Netscape 在更正日期(2000-10-29)之前的版本(ports)
- FreeBSD 3.5.1
- FreeBSD 4.1.1
描述:
--------------------------------------------------------------------------------
Netscape 4.76以前的版本在处理html代码时存在一个客户端溢出漏洞。一个恶
意站点的管理员可以设法让正在使用netscape客户端的用户执行任意代码。
Netscape port缺省没有安装,也不是FreeBSD自身的一部分:它只是很多移植到
FreeBSD下的程序之一,FreeBSD收集了很多这样的程序,包含4000多个第三方
的应用程序,它们可以根据用户的需要选择安装到FreeBSD系统中。
<* 来源: Michal Zalewski (lcamtuf@DIONE.IDS.PL)
FreeBSD Security Advisory: FreeBSD-SA-00:66 netscape
*>
--------------------------------------------------------------------------------
建议:
临时解决方法:
NSFOCUS建议您在没有升级程序之前按照FreeBSD安全公告中的方法去做:
如果您已经安装了Netscape port/package, 暂时卸载它。
厂商补丁:
您可以采用下列方法中的任意一种:
1) 升级您的整个ports集合,并重建Netscape port.
2) 写在旧的软件版本并安装正确日期之后的新软件包:
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/www/
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/www/
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/www/
3) 从下列地址下载一个新的port架构:
http://www.freebsd.org/ports/
并使用它重建那个port.
4) 使用portcheckout工具的自动更新选项。这个工具通常在:/usr/ports/devel/portcheckout
您也可以从下列地址下载:
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/devel/portcheckout-2.0.tgz
版权所有,未经许可,不得转载