cgit 缓冲区溢出漏洞

漏洞信息详情

cgit 缓冲区溢出漏洞

• CNNVD编号：CNNVD-201210-177
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-4465
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2012-10-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-10-15
  
• 厂        商：
  
  lars_hjemli
• 漏洞来源：

cgit 0.9.0.3及更早版本中的parsing.c中的substr功能中存在堆溢出漏洞。通过在“Author”字段中提交空的用户名，远程认证攻击者可利用该漏洞导致拒绝服务（死机）和执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://git.zx2c4.com/cgit/commit/?id=7757d1b046ecb67b830151d20715c658867df1ec

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=820733

来源: MLIST

名称: [oss-security] 20121003 Re: cgit: heap buffer overflow

链接:http://www.openwall.com/lists/oss-security/2012/10/03/7

来源: MLIST

名称: [oss-security] 20120930 cgit: heap buffer overflow

链接:http://www.openwall.com/lists/oss-security/2012/09/30/1

来源: SECUNIA

名称: 50734

链接:http://secunia.com/advisories/50734

来源: MLIST

名称: [cgit] 20120703 avoid stack-smash when processing unusual commit

链接:http://hjemli.net/pipermail/cgit/2012-July/000652.html

来源: git.zx2c4.com

链接:http://git.zx2c4.com/cgit/commit/?id=7757d1b046ecb67b830151d20715c658867df1ec