发布日期：2010-04-14
更新日期：2010-04-29

受影响系统：

Real Networks Helix Mobile Server 13.x
Real Networks Helix Mobile Server 12.x
Real Networks Helix Mobile Server 11.x
Real Networks Helix Server 13.x
Real Networks Helix Server 12.x
Real Networks Helix Server 11.x

不受影响系统：

Real Networks Helix Mobile Server 14.0.0
Real Networks Helix Server 14.0.0

描述：

---

BUGTRAQ  ID: 39490
CVE ID: CVE-2010-1317

Helix Server是一款支持多格式、跨平台的流媒体服务器软件。

如果Helix Server的管理Web界面配置为使用NTLM认证的话，则用户在提交的认证请求的Authorization头中指定了无效的Base64字符串就可以触发堆溢出。无效的Base64编码字符串可能导致有漏洞的函数返回-1，之后未经验证便在字符串拷贝操作中用作了长度值。

<*来源：ZDI （http://www.zerodayinitiative.com/）
  
  链接：http://marc.info/?l=bugtraq&m=127248815717034&w=2
        http://secunia.com/advisories/39279/
*>

建议：

---

厂商补丁：

Real Networks
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.realnetworks.com/uploadedFiles/Support/helix-support/SecurityUpdate041410HS.pdf

浏览次数：2332
严重程度：0（网友投票）