发布日期：2009-07-29
更新日期：2009-07-30

受影响系统：

NetBSD NetBSD 5.0
NetBSD NetBSD 4.0

描述：

---

BUGTRAQ  ID: 35853

NetBSD是一款免费开放源代码的UNIX性质的操作系统。

NetBSD的SHA2实现中存在缓冲区溢出漏洞。在调用哈希init函数（如SHA256_Init）时，init函数对memset函数传送了错误的大小参数，而后一个函数之后使用该参数覆盖了4字节的内存缓冲区。

在基于NetBSD的系统中，这个漏洞影响libssh库和pkg_install框架。在libssh库中，溢出发生在堆上；而在pkg_install中溢出发生在栈上。

<*来源：Joerg Sonnenberger
  
  链接：http://secunia.com/advisories/36044/
        http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-012.txt.asc
*>

建议：

---

临时解决方法：

* 禁止将使用SHA256作为secure shell的HMAC，不要使用审计工具和签名软件包。

厂商补丁：

NetBSD
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.netbsd.org/Security/

浏览次数：2372
严重程度：0（网友投票）