发布日期：2009-02-12
更新日期：2009-02-13

受影响系统：

Net-SNMP net-snmp 5.4.2.1

描述：

---

BUGTRAQ  ID: 33755
CVE ID: CVE-2008-6123

Net-SNMP是一个免费的、开放源码的SNMP实现，以前称为UCD-SNMP。

在使用TCP wrapper授权客户端的时候，Net-SNMP的snmplib/snmpUDPDomain.c文件中的netsnmp_udp_fmtaddr函数没有正确地解析hosts.allow规则，这允许远程攻击者绕过预期的访问限制执行SNMP查询，获得主机相关的敏感信息。

<*来源：Marcel Meckel
  
  链接：http://secunia.com/advisories/33884/
        http://bugs.gentoo.org/show_bug.cgi?format=multiple&id=250429
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=485211
        http://security.gentoo.org/glsa/subject: [full-disclosure] [ glsa 201001-05.xml
        http://www.ubuntu.com/usn/USN-946-1
*>

建议：

---

厂商补丁：

Net-SNMP
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://net-snmp.svn.sourceforge.net/viewvc/net-snmp?view=rev&revision=17367

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA 201001-05）以及相应补丁:
GLSA 201001-05：net-snmp: Authorization bypass
链接：http://security.gentoo.org/glsa/201001-05.xml

所有net-snmp用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=3Dnet-analyzer/net-snmp-5.4.2.1-r1"

Ubuntu
------
Ubuntu已经为此发布了一个安全公告（USN-946-1）以及相应补丁:
USN-946-1：net-snmp vulnerability
链接：http://www.ubuntu.com/usn/USN-946-1

浏览次数：2656
严重程度：0（网友投票）