NetBSD trek本地缓冲区溢出漏洞

漏洞信息详情

NetBSD trek本地缓冲区溢出漏洞

• CNNVD编号：CNNVD-200303-103
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1543
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-10-24
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  netbsd
• 漏洞来源：

Trek是一款NetBSD系统上游戏程序。
Trek对用户输入缺少正确检查，本地攻击者可以利用这个漏洞进行缓冲区溢出攻击，以\’\’game\’\’权限在系统上执行任意指令。
Trek(6)接收键盘输入，但对输入没有执行正确的缓冲区边界检查。超过100字节的输入可导致缓冲区溢出，精心构建提交数据可能以\”game\”权限在系统上执行任意指令。
＜*链接：ftp：//ftp.netbsd.org/pub/NetBSD/security/advisories/NETBSD-SA2002-025.txt.asc
*＞

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 删除trek程序：

# rm /usr/games/trek

# rm /usr/games/hide/trek
厂商补丁：
NetBSD
——
NetBSD已经为此发布了一个安全公告(NETBSD-SA2002-025)以及相应补丁:

NETBSD-SA2002-025：trek(6) buffer overrun

链接：ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NETBSD-SA2002-025.txt.asc

补丁下载：

* NetBSD-current:

系统运行在2002-10-19之前的NetBSD-current版本必须升级到2002-10-19 NetBSD-current版本或者之后的版本。

下面的目录必须从netbsd-current CVS branch (aka HEAD)升级:

games/trek

要升级CVS，重建和重安装trek(6)：

# cd src

# cvs update -d -P games/trek

# cd games/trek

# make cleandir dependall

# make install

* NetBSD 1.6:

系统运行在2002-10-22之前的NetBSD 1.6 sources版本必须升级到2002-10-22 NetBSD 1.6 sources版本或者之后的版本。

NetBSD 1.6.1包含了这个补丁。

下面的目录必须从netbsd-1-6 CVS branch上升级:

games/trek

要升级CVS，重建和重安装trek(6)：

# cd src

# cvs update -d -P -r netbsd-1-6 games/trek

# cd games/trek

# make cleandir dependall

# make install

* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:

系统运行在2002-10-19之前的NetBSD 1.5, 1.5.1, 1.5.2, 或1.5.3 sources 版本必须升级到2002-10-19 NetBSD 1.5.* sources版本或者之后的版本。

下面的目录必须从netbsd-1-5 CVS branch上升级:

games/trek

要升级CVS，重建和重安装kadmin(8)：

# cd src

# cvs update -d -P -r netbsd-1-5 games/trek

# cd games/trek

# make cleandir dependall

# make install

来源: BID
名称: 6036
链接:http://www.securityfocus.com/bid/6036

来源: XF
名称: trek-keyboard-input-bo(10458)
链接:http://www.iss.net/security_center/static/10458.php

来源: OSVDB
名称: 7570
链接:http://www.osvdb.org/7570

来源: NETBSD
名称: NetBSD-SA2002-025
链接:ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-025.txt.asc