发布日期：2007-08-10
更新日期：2007-08-13

受影响系统：

Qbik WinGate 6.x
Qbik WinGate 5.x

不受影响系统：

Qbik WinGate 6.2.2

描述：

---

BUGTRAQ  ID: 25272

Qbik WinGate是一款Internet网关和通讯服务器。

WinGate在处理畸形请求时存在格式串处理漏洞，远程攻击者可能利用此漏洞导致服务不可用。

WinGate的SMTP服务器组件没有正确地处理与客户端创建的SMTP会话。如果恶意的客户端初始化了到SMTP服务器的连接，就可能通过向服务器发布非预期的命令强制会话成为无效状态。如果出现了这种情况，就会生成错误消息记录问题，而攻击者可以在这个格式化的错误消息中将所提供的数据传输给对vsprintf()的不安全调用。这种格式串攻击会导致进程崩溃。

<*来源：Stephen Fewer
  
  链接：http://marc.info/?l=bugtraq&m=118676243609576&w=2
        http://secunia.com/advisories/26412/
        http://www.wingate.com/news.php?id=50
*>

建议：

---

厂商补丁：

Qbik
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.qbik.com/qbiknz2/downloads/WinGate6.2.2.1137-USE.EXE

浏览次数：2613
严重程度：0（网友投票）