Libmcrypt内存泄露资源耗竭漏洞

漏洞信息详情

Libmcrypt内存泄露资源耗竭漏洞

• CNNVD编号：CNNVD-200301-016
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0032
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-01-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  mcrypt
• 漏洞来源：
  Ilia A.※ ilia@proh…

limbcrypt是一款可代替标准UNIX crypt()的加密相关模块，可动态装载。
limbcrypt在装载算法时存在内存泄露问题，远程攻击者可以利用这个漏洞提交重复请求，使mcrypt库泄露大量内存而耗尽系统资源，造成拒绝服务攻击。
当libmcrypt通过libtool每次装载算法时，会有一小部分内存泄露(大概几K字节)，在有些长久服务的环境下(WEB服务)，攻击者向利用mcrypt库的应用程序重复提交请求，可导致消耗所有系统内存而产生拒绝服务攻击。

厂商补丁：
Mcrypt
——
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Mcrypt Upgrade libmcrypt 2.5.5

http://mcrypt.hellug.gr/lib/index.html” target=”_blank”>
http://mcrypt.hellug.gr/lib/index.html

来源: DEBIAN
名称: DSA-228
链接:http://www.debian.org/security/2003/dsa-228

来源: BUGTRAQ
名称: 20030103 Multiple libmcrypt vulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104162752401212&w=2

来源: XF
名称: libmcrypt-libtool-memory-leak(10988)
链接:http://www.iss.net/security_center/static/10988.php

来源: BID
名称: 6512
链接:http://www.securityfocus.com/bid/6512

来源: BUGTRAQ
名称: 20030105 GLSA: libmcrypt
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104188513728573&w=2

来源: CONECTIVA
名称: CLA-2003:567
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000567