发布日期：2007-04-05
更新日期：2007-04-10

受影响系统：

Enterasys Networks NetSight Inventory Manager 2.1
Enterasys Networks NetSight Console 2.1

不受影响系统：

Enterasys Networks NetSight Inventory Manager 2.2.2 build 4
Enterasys Networks NetSight Console 2.3.1 build 6

描述：

---

BUGTRAQ  ID: 23327
CVE(CAN) ID: CVE-2007-2343,CVE-2007-2344

NetSight是结合了多个产品的图形网络管理平台。

各种NetSight产品的TFTPD服务组件在处理请求报文的文件名部分存在缓冲区溢出漏洞。如果发送了带有超长文件名的请求报文，就可能导致可利用的栈溢出。

各种NetSight产品的BOOTPD服务组件没有验证所接收报文的packet type字段。如果发送了带有无效packet type字段的UDP报文就可能导致服务器退出。

<*来源：CIRT.DK
  
  链接：http://secunia.com/advisories/24764/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=506
*>

建议：

---

厂商补丁：

Enterasys Networks
------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.enterasys.com/pub/NetSight/Patches/SP1/NetSightSP1.zip
http://enterasys.com/pub/NetSight/Patches/SP1/NetSight_SP1.pdf

浏览次数：3313
严重程度：0（网友投票）