发布日期：2009-04-28
更新日期：2009-04-29

受影响系统：

TIBCO SmartSockets < 6.8.2

不受影响系统：

TIBCO SmartSockets 6.8.2

描述：

---

BUGTRAQ  ID: 34754
CVE(CAN) ID: CVE-2009-1291

TIBCO SmartSockets是用于通过独立通道传输消息的传送框架，RTserver是其中的服务器组件。

SmartSockets的RTserver组件在处理入站请求时存在栈溢出漏洞。如果远程攻击者向RTserver的UDP接口发送了超长请求的话，就可能触发这个溢出，导致执行任意指令。

<*来源：Stephen Fewer
  
  链接：http://www.tibco.com/resources/mk/sspfm_security_advisory_20080115.txt
        http://www.tibco.com/multimedia/security_advisory_ems_tcm8-7558.txt
        http://www.tibco.com/multimedia/security_advisory_smartsockets_tcm8-7560.txt
        http://secunia.com/advisories/34911/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=785
*>

建议：

---

临时解决方法：

* 在配置文件中禁用rtserver UDP端口，或使用防火墙限制对rtserver的访问。

厂商补丁：

TIBCO
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.tibco.com/services/support/advisories/default.jsp

浏览次数：2286
严重程度：0（网友投票）