发布日期：2002-08-02
更新日期：2002-08-05

受影响系统：

Sun AnswerBook2 1.2
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6
    - Sun Solaris 2.5.1
Sun AnswerBook2 1.3.x
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6
    - Sun Solaris 2.5.1
Sun AnswerBook2 1.4
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6
    - Sun Solaris 2.5.1
Sun AnswerBook2 1.4.1
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6
    - Sun Solaris 2.5.1
Sun AnswerBook2 1.4.2
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 2.6
    - Sun Solaris 2.5.1

不受影响系统：

Sun AnswerBook2 1.1.1

描述：

---

BUGTRAQ  ID: 5384

Sun AnswerBook2是Sun提供的一个文档服务器软件，它使用户可以通过自己喜欢的浏览器来查看Sun的各种文档。用户可以很方便的通过AnswerBook2来对Sun的文档进行浏览、查询、打印等操作。

Sun AnswerBook2文档服务器使用了一个第三方的web服务器dwhttpd来提供web访问功能。dwhttpd在记录请求不存在文件时存在问题，远程攻击者可以利用这个漏洞进行格式串攻击。

dwhttpd中处理GET请求时对于用户提供的输入作为格式串传递给vsprintf(3s)函数，当所请求的文件通过send_file()处理发现不存在的情况下，就会把错误记录在ab2日志文件中。当请求的文件名打印成错误日志时，vsprint()没有很好的检查文件名，攻击者可以发送包含"%n"等格式字符串作为文件名的GET请求，而导致vsprint()出现段错误，通过精心构建格式串数据并修改任意内存地址的内容，就可能以dwhttpd进程的权限（通常是‘daemon'用户）在系统中执行任意指令。



<*来源：ghandi （ghandi@mindless.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=102825910325304&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

ghandi （ghandi@mindless.com）提供了如下测试方法：

发送如下请求：

% perl -e 'print"GET /";print"%x"x20;print" HTTP/1.0\r\n\r\n\r\n"' | \
  nc localhost 8888
  
将打印如下错误日志：

http-8888 [23/Sep/2000:13:09:37 -0700] warning: send-file reports: The
requested object "/usr/lib/ab2/data/docs/0fea19f580073656e642d66696c6520
7265706f7274733a2054686520726571756573746564206f626a65637420222f7573722f6
c69622f6162322f646174612f646f63732f" could not be opened!

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时关闭AnswerBook2服务器。

厂商补丁：

Sun
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

AnswerBook 1.4.3_x86 （Sun Patch 110538-01）:
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=110538&method=H

AnswerBook 1.4.2_x86 （Sun Patch 110537-01） :
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=110537&method=H

AnswerBook 1.4.3 （Sun Patch 110532-01） :
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=110532&method=H

AnswerBook 1.4.2 （Sun Patch 110531-01） :
http://sunsolve.sun.com/pub-cgi/patchDownload.pl?target=110531&method=H

浏览次数：4099
严重程度：0（网友投票）