C-Note Squid_Auth_LDAP Pam logging函数远程格式串溢出漏洞

漏洞信息详情

C-Note Squid_Auth_LDAP Pam logging函数远程格式串溢出漏洞

• CNNVD编号：CNNVD-200208-216
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0735
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-05-06
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-30
  
• 厂        商：
  
  padl_software
• 漏洞来源：
  blackshell@hushma…

Squid_Auth_LDAP是一款免费开放源代码的验证模块，由C-note分发和维护，可使用于Linux操作系统下。

Squid_Auth_LDAP存在设计问题，可导致远程攻击者进行格式串溢出攻击，以使用Squid_Auth_LDAP模块进程的权限在目标系统中执行任意指令。由于在Squid_Auth_LDAP模块中程序不安全地调用了logging()函数，攻击者可以连接系统并提供精心构建的格式串，溢出攻击覆盖内存任意位置，并以调用Squid_Auth_LDAP模块进程的权限在目标系统中执行任意指令。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

C-Note

——

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.c-note.dk/software/” target=”_blank”>

http://www.c-note.dk/software/

来源: BID

名称: 4679

链接:http://www.securityfocus.com/bid/4679

来源: XF

名称: squidauthldap-logging-format-string(9019)

链接:http://www.iss.net/security_center/static/9019.php

来源: BUGTRAQ

名称: 20020506 ldap vulnerabilities

链接:http://online.securityfocus.com/archive/1/271173

来源: VULN-DEV

名称: 20020506 ldap vulnerabilities

链接:http://marc.theaimsgroup.com/?l=vuln-dev&m=102070267500932&w=2

来源: VULNWATCH

名称: 20020506 [VulnWatch] ldap vulnerabilities

链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q2/0053.html