PFinger远程格式化串溢出漏洞

漏洞信息详情

PFinger远程格式化串溢出漏洞

• CNNVD编号：CNNVD-200112-118
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-1215
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-12-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-22
  
• 厂        商：
  
  michael_baumer
• 漏洞来源：
  Beno?t Roussel※ be…

PFinger是标准的Finger协议守护程序，同时也支持PIP协议，该守护程序缺省以\”nobody\”身份运行，还包含一个图形化的客户端。
其服务器程序和客户端程序都存在一个安全问题，可能导致执行任意代码。
与某个用户相关的Finger数据，包括\”.plan\”文件，都被作为格式串传递给\”printf\”函数调用，通过精心构造这些数据，就可能在服务器端或客户端执行任意代码。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时停止Finger服务
厂商补丁：
xelia
—–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.xelia.ch/unix/pfinger/download” target=”_blank”>
http://www.xelia.ch/unix/pfinger/download

来源: XF
名称: pfinger-plan-format-string(7742)
链接:http://www.iss.net/security_center/static/7742.php

来源: www.xelia.ch
链接:http://www.xelia.ch/unix/pfinger/ChangeLog

来源: BUGTRAQ
名称: 20011220 [CERT-intexxia] pfinger Format String Vulnerability
链接:http://www.securityfocus.com/archive/1/246656

来源: BID
名称: 3725
链接:http://www.securityfocus.com/bid/3725