发布日期：2014-01-15
更新日期：2014-01-16

受影响系统：

FreeBSD FreeBSD 9.x

描述：

---

BUGTRAQ  ID: 64967
CVE(CAN) ID: CVE-2014-1452

FreeBSD bsnmpd是简单的可扩展SNMP后台程序。

bsnmpd(8)后台程序在处理特制的GETBULK PDU请求时存在栈缓冲区溢出漏洞，成功利用后可导致在服务程序上下文中执行任意代码，造成拒绝服务。

<*来源：Dirk Meyer.
  
  链接：http://secunia.com/advisories/56496/
        http://security.FreeBSD.org/advisories/FreeBSD-SA-14:01.bsnmpd.asc
*>

建议：

---

临时解决方法：

FreeBSD推荐下列三种做法:

1) 升级您现在受影响的系统到漏洞修复日期后的FreeBSD stable或
release / security branch (releng)。

2) 用源代码补丁更新您的受影响系统：

经验证，下列补丁适用于FreeBSD release分支。

a) 从以下位置下载相关补丁，并使用PGP工具验证附带的PGP签名。

# fetch http://security.FreeBSD.org/patches/SA-14:01/bsnmpd.patch
# fetch http://security.FreeBSD.org/patches/SA-14:01/bsnmpd.patch.asc
# gpg --verify bsnmpd.patch.asc

b) 应用补丁。

# cd /usr/src
# patch < /path/to/patch

c) 按<URL:http://www.FreeBSD.org/handbook/makeworld.html>重新编译kernel并重启系统。

3) 用二进制本地更新您受影响系统：

运行RELEASE版本的系统（i386或amd64平台）可通过freebsd-update(8) utility更新系统：

# freebsd-update fetch
# freebsd-update install

厂商补丁：

FreeBSD
-------
FreeBSD已经为此发布了一个安全公告（FreeBSD-SA-14:01.bsnmpd）以及相应补丁:
FreeBSD-SA-14:01.bsnmpd：bsnmpd remote denial of service vulnerability
链接：http://security.FreeBSD.org/advisories/FreeBSD-SA-14:01.bsnmpd.asc

浏览次数：1951
严重程度：0（网友投票）