Swatch抑制事件报告漏洞

漏洞信息详情

Swatch抑制事件报告漏洞

• CNNVD编号：CNNVD-200210-218
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0896
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-05-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  swatch
• 漏洞来源：
  SUZUKI Yasuhiro※ y…

Swatch是一款免费开放源代码的日志监察工具，可使用在多种Unix和Linux操作系统下。
Swatch存在设计漏洞，可导致信息不予报告。
当SWATCH检测到一个事件多次发生的时候，会对事件的报告产生抑制，也就是不重复报告同样的事件。而且如果被抑制的事件一个月以后再次发生的时候也不会被报告。
问题存在于swatch源代码的1037行，比较新旧事件的月份，如果新的一事件大，新事件就递减：
if ($ymdhms[1] ＞ $Msg_Rec{$key}-＞{ymdhms}[1]) { $ymdhms[0]–; }
然后1038行获得两个事件日期的差异：
my @delta_dhms = Delta_DHMS(@{$Msg_Rec{$key}-＞{ymdhms}}， @ymdhms);
1039行到1042行判断新事件是否需要报告：
foreach my $i (0..$＃min_dhms_delta) {
$passed = 0 if ($delta_dhms[$i] ＜ $min_dhms_delta[$i]);
last unless ($delta_dhms[$i] == $min_dhms_delta[$i]);
}
如果$passed为1，事件就必须报告。
这意味着如果两个事件发生在不同的月份，新事件会被认为比旧的事件还老，两个事件的差异永远是负值，而由于$delta_dhms[$i]一直小于$min_dhms_delta[$i]使的$passed为0，就不被Swatch报告。
日志不被报告，可使攻击者的攻击不被觉察。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
Swatch
——
暂时的补丁由SUZUKI Yasuhiro <ysuzuki@bb.mbn.or.jp>提供，可在如下地址获得：

http://plaza8.mbn.or.jp/~yswww/myself/swatch-en.html” target=”_blank”>
http://plaza8.mbn.or.jp/~yswww/myself/swatch-en.html

来源: BID
名称: 4746
链接:http://www.securityfocus.com/bid/4746

来源: XF
名称: swatch-event-reporting-failure(9100)
链接:http://www.iss.net/security_center/static/9100.php

来源: BUGTRAQ
名称: 20020515 swatch bug in throttle
链接:http://online.securityfocus.com/archive/1/272582