MTR本地缓冲区溢出漏洞

漏洞信息详情

MTR本地缓冲区溢出漏洞

• CNNVD编号：CNNVD-200208-165
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2002-0497
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-02-27
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  mtr
• 漏洞来源：
  Damian Gryski※ dgr…

MTR是种免费使用、开放源码的应用程序，集成了traceroute和ping功能。
MTR存在本地缓冲区溢出漏洞。
在处理MTR_OPTIONS环境变量时，缺乏足够的边界检查，导致本地缓冲区溢出。该程序是setuid-to-root的，潜在允许攻击者获取root权限。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时去掉MTR程序的suid root位。
厂商补丁：
MTR
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

mtr Upgrade mtr-0.47.tar.gz

ftp://ftp.bitwizard.nl/mtr/mtr-0.47.tar.gz

来源: BID
名称: 4217
链接:http://www.securityfocus.com/bid/4217

来源: XF
名称: mtr-options-bo(8367)
链接:http://www.iss.net/security_center/static/8367.php

来源: DEBIAN
名称: DSA-124
链接:http://www.debian.org/security/2002/dsa-124

来源: BUGTRAQ
名称: 20020306 mtr 0.45, 0.46
链接:http://archives.neohapsis.com/archives/bugtraq/2002-03/0048.html