sgminer和cgminer 输入验证漏洞

漏洞信息详情

sgminer和cgminer 输入验证漏洞

• CNNVD编号：CNNVD-201407-573
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-4503
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2014-07-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-24
  
• 厂        商：
  
  cgminer_project
• 漏洞来源：

sgminer和cgminer都是比特币挖矿软件。

sgminer 4.2.1及之前版本和cgminer 3.3.0至4.0.1版本中util.c文件中的‘parse_notify’函数存在安全漏洞，该漏洞源于mining.notify层消息没有充分过滤‘bbversion’、‘prev_hash’、‘nbit’或‘ntime’参数。攻击者可利用该漏洞实施中间人攻击，造成拒绝服务（应用程序退出）。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/sgminer-dev/sgminer/releases

https://github.com/ckolivas/cgminer/releases

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jul/120

来源:github.com

链接:https://github.com/sgminer-dev/sgminer/commit/910c36089940e81fb85c65b8e63dcd2fac71470c