3proxy HTTP代理请求缓冲区溢出漏洞

漏洞信息详情

3proxy HTTP代理请求缓冲区溢出漏洞

• CNNVD编号：CNNVD-200704-264
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2007-2031
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2007-04-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-04-17
  
• 厂        商：
  
  3proxy
• 漏洞来源：
  3proxy

3Proxy是一款小型的代理软件。

3proxy的logurl()函数在处理超长请求时存在缓冲区溢出，如果攻击者向代理发送了特制的透明请求的话，就可以触发这个漏洞，导致以3proxy权限执行任意代码。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Gentoo已经为此发布了一个安全公告(GLSA-200704-17)以及相应补丁:

GLSA-200704-17：3proxy: Buffer overflow

链接：

http://security.gentoo.org/glsa/glsa-200704-17.xml

所有3proxy用户都应升级到最新版本：

# emerge –sync

# emerge –ask –oneshot –verbose “>=net-proxy/3proxy-0.5.3h”

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.security.nnov.ru/soft/3proxy

来源:3proxy.ru

链接:http://3proxy.ru/0.5.3h/Changelog.txt

来源: XF

名称: 3proxy-transparent-requests-bo(33841)

链接:http://xforce.iss.net/xforce/xfdb/33841

来源: BID

名称: 23545

链接:http://www.securityfocus.com/bid/23545

来源: BUGTRAQ

名称: 20070423 3proxy 0.5.3i bugfix release

链接:http://www.securityfocus.com/archive/1/archive/1/466650/100/100/threaded

来源: VUPEN

名称: ADV-2007-1442

链接:http://www.frsirt.com/english/advisories/2007/1442

来源: GENTOO

名称: GLSA-200704-17

链接:http://security.gentoo.org/glsa/glsa-200704-17.xml

来源: SECUNIA

名称: 25001

链接:http://secunia.com/advisories/25001

来源: SECUNIA

名称: 24961

链接:http://secunia.com/advisories/24961