4D WebServer验证功能远程缓冲区溢出漏洞

漏洞信息详情

4D WebServer验证功能远程缓冲区溢出漏洞

• CNNVD编号：CNNVD-200206-002
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0578
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-05-03
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  aci
• 漏洞来源：
  Jonas L?ndin※ Jona…

4D WebServer是一款集成WEB开发和服务的客户端/服务器端数据库管理系统，可使用在Microsoft Windows和MacOS操作系统下。
4D WebServer在基本验证模式处理上存在问题，可导致远程攻击者以4D WebServer进程的权限在系统上执行任意指令。
由于4D WebServer对基本验证模式中的用户名/密码字段缺少正确充分的边界检查，攻击者可以提交超长的用户名/密码数据给4D WebServer系统，将导致系统出现缓冲区溢出，精心构建字符串数据攻击者可能以4D WebServer进程的权限在目标系统中执行任意指令。
程序对缓冲数据进行了一些合法性检查，如果缓冲中包含非法字符可导致拷贝过程终止，所以增加了攻击者的利用难度。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 使用防火墙对4D WebServer进行访问控制，只允许可信用户访问。
厂商补丁：
4D
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

请升级到4D Webserver最新版本：4D 6.7.4 或者 4D 6.8.1.

http://www.starnine.com/index.html” target=”_blank”>
http://www.starnine.com/index.html

来源: BUGTRAQ
名称: 20020502 iXsecurity.20020404.4d_webserver.a
链接:http://archives.neohapsis.com/archives/bugtraq/2002-05/0013.html

来源: BID
名称: 4665
链接:http://www.securityfocus.com/bid/4665