发布日期：2002-12-01
更新日期：2002-12-04

受影响系统：

Webster HTTP

描述：

---

CVE ID: CVE-2002-2268

Webster HTTP是一款使用MFC由C++编写的HTTP/1.0服务程序。

Webster HTTP没有正确检查用户提交的URI长度，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以Webster HTTP进程权限在系统上执行任意指令。

如果攻击者提交的URI超过275字符，可触发缓冲区溢出，通过精心提交的数据覆盖堆栈返回地址，可能以Webster HTTP进程权限在系统上执行任意指令。

<*来源：Matthew Murphy （mattmurphy@kc.rr.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103884335930492&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Matthew Murphy （mattmurphy@kc.rr.com）提供了如下测试方法：

演示程序如下：

http://www.techie.hopto.org/exploits/webster.txt

建议：

---

厂商补丁：

Webster
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netdave.com/webster/webster.htm

浏览次数：2771
严重程度：0（网友投票）