当前位置: 安全纵横 > 安全公告

一周业界安全动态(8月4日-8月10日)

来源:安恒信息 日期:2008-08

OpenVMS Finger服务超长用户名栈溢出漏洞
HP OpenVMS是HP Integrity或AlphaServer服务器中使用的操作系统。
OpenVMS的MultiNet软件包所提供的finger服务默认监听于79端口,在查询时会取用户名作为输入参数,如果远程攻击者向该服务提交了超过250字节的超长字符串的话,就会触发栈溢出,导致控制返回地址并执行任意指令。
目前厂商还没有提供补丁或者升级程序:
http://h71000.www7.hp.com/

 

Discuz! index.php文件SQL注入漏洞
Discuz!是一款华人地区非常流行的Web论坛程序。
Discuz所运行的PHP环境可能存在编码转换的问题,远程攻击者可能利用此漏洞通过提交畸形的searchid参数,允许远程攻击者执行SQL注入攻击。
目前厂商还没有提供补丁或者升级程序:
http://www.discuz.net/

 

PowerDNS畸形请求处理漏洞
PowerDNS是一款高效的名称服务器。
PowerDNS服务器可能会丢弃对有效域中无效DNS记录的DNS查询请求,尽管丢弃这些畸形请求不会对PowerDNS权威服务器本身造成威胁,但接受权威服务器上所承载域的伪造响应会对其他解析域名服务器带来风险。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://wiki.powerdns.com/projects/trac/changeset/1239

 

rxvt终端X11显示任意代码执行漏洞
Trxvt(ouR eXtended Virtual Terminal)是X窗口系统的终端模拟器。
rxvt如果没有指定-display选项且缺少DISPLAY环境变量的话,就会使用:0作为X11显示,这允许本地用户劫持X11会话,通过恶意的X 服务器以运行rxvt用户的权限执行任意命令。rxvt-unicode、mrxvt、aterm、multi-aterm、wterm等终端也受影响。 如果要利用这个漏洞,本地用户必须在错误的机器上输入命令。
Gentoo已经为此发布了一个安全公告(GLSA-200805-03)以及相应补丁:
http://security.gentoo.org/glsa/glsa-200805-03.xml

 

Pidgin NSS插件SSL证书验证漏洞
Pidgin是支持多种协议的即时通讯客户端。
如果将Pidgin配置为使用NSS插件的话,则在开始SSL会话的时候就不会验证Jabber等服务器所提供的证书,这允许攻击者通过中间人攻击伪造成为有效的服务器。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://developer.pidgin.im/ticket/6500

 

WebEx会议管理器atucfobj.dll ActiveX控件远程栈溢出漏洞
WebEx是全球最大的网络通信服务供应商,可提供电信级网络会议解决方案。
WebEx会议管理器使用了一些ActiveX控件,其中的WebexUCFObject控件 (atucfobj.dll,CLSID:32E26FD9-F435-4A20-A561-35D4B987CFDC)没有正确地验证对 NewObject()方式的输入参数。如果用户受骗访问了恶意网页并向该方式传送了超长参数的话,就可能触发栈溢出,导致执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://www.webex.com/

 

Linux Kernel snd_seq_oss_synth_make_info()函数本地信息泄露漏洞
Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel的sound/core/seq/oss/seq_oss_synth.c文件中的
snd_seq_oss_synth_make_info()函数没有执行有效性检查,如果本地攻击者向该函数传送了无效的设备号的话,函数可能向用户域 错误的报告信息。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=blobdiff;f=sound/core/seq/oss/seq_oss_synth.c;h=e024e4588b829280b8871420c7d32a616352e7ef
;hp=558dadbf45f12e39387573ca5566b8d31b5be562;hb=82e68f7ffec3800425f2391c8c86277606860442;hp
b=82248a5e92793014d156a12dbcbba633794ce9f8

 

Apache mod_proxy_ftp模块通配符字符跨站脚本漏洞
Apache HTTP Server是一款流行的Web服务器。
如果将Apache HTTP Server配置了代理支持(配置文件中ProxyRequests On)且启用了mod_proxy_ftp模块以提供HTTP上FTP支持的话,则类似于以下的包含有通配符字符(“*”、“'”、“[”等)的请求:
GET ftp://host/*<foo> HTTP/1.0
就会在mod_proxy_ftp所返回的响应中导致跨站脚本攻击:
[...]
<h2>Directory of <a href="/">ftp://host</a>/*<foo></h2>
[...]
如果要利用这个漏洞,host必须运行在FTP服务器上,路径最后一个目录组件(XSS负载)必须包含有至少一个通配符字,且不能包含有斜线。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://svn.apache.org/viewvc?view=rev&revision=682868

 

Sun Solaris snoop(1M)工具远程命令执行漏洞
Solaris是一款由Sun开发和维护的商业性质UNIX操作系统。
Solaris的snoop(1M)网络工具显示SMB通讯时存在安全漏洞,可能允许远程用户以nobody用户或其他本地用户的权限执行任意指令。
用户必须未经使用-o选项运行snoop(1M)工具时系统才受这个漏洞影响。snoop对恶意报文的交互操作可以触发这个漏洞,导致以运行snoop用 户的权限执行任意命令。无论是直接从接口抓包,还是snoop抓包文件中已经存在报文并通过-i标记读取,都会出现这种情况。
在以root用户权限运行时,snoop工具会将有效用户更改为nobody,因此在这种情况下会以nobody而不是root用户权限执行命令。对于所有其他用户,会以该用户的权限执行命令。
Sun已经为此发布了一个安全公告(Sun-Alert-240101)以及相应补丁:
http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-240101-1

 

8E6科技R3000 Internet过滤器Host头绕过检测漏洞
8e6科技的R3000上网行为管理系统是软硬件集成的系统,允许管理者能有效控制与管理互联网用户的上网行为。
R3000 Internet过滤器所提供的HTTP URL过滤功能没有正确的验证Host头,用户可以访问设备设置了访问限制的网站。但用户无法利用这个漏洞绕过基于IP地址的过滤限制。
目前厂商还没有提供补丁或者升级程序:
http://www.8e6.com.cn/index.htm

 

Git路径名多个栈溢出漏洞
Git是一款开放源码的版本控制系统。
Git的多个函数没有正确地处理超长的代码库路径名,如果路径名大于系统上的PATH_MAX值的话,则用户对该代码库运行git-diff或git-grep的话就会在diff_addremove()和diff_change()函数中触发栈溢出,导致执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://www.kernel.org/pub/software/scm/git/git-1.5.6.4.tar.gz

 

Xerox Phaser 8400空UDP报文远程拒绝服务漏洞
Phaser 8400是富士施乐的一款彩色网络打印机。
Phaser 8400处理畸形格式的UDP报文时存在漏洞,如果远程攻击者向Phaser 8400打印机发送了空的UDP报文的话,就会导致打印机重启。
目前厂商还没有提供补丁或者升级程序:
http://www.xerox.com

 

HydraIRC irc:// URI处理空指针引用漏洞
HydraIRC是一款易用的开源IRC客户端。
HydraIRC处理畸形格式的URI时存在漏洞,如果用户受骗使用HydraIRC打开了Web浏览器中的超长irc://" URI的话,就可以触发空指针引用,导致客户端崩溃。
目前厂商还没有提供补丁或者升级程序:
http://www.hydrairc.com/

 

IntelliTamper HTML解析器IMG标签缓冲区溢出漏洞
IntelliTamper是用于拦截网站弹出窗口的浏览器插件。
IntelliTamper的HTML解析器中存在缓冲区溢出漏洞,如果网页的IMG标签包含有超长字符串的话,就可以触发这个溢出,导致执行任意指令。
目前厂商还没有提供补丁或者升级程序:
http://www.intellitamper.com/

 

Sun xVM VirtualBox VBoxDrv.sys驱动本地权限提升漏洞
VirtualBox是由德国Innotek公司开发的开源虚拟化技术,目前已成为Sun xVM产品家族的成员。
在Windows主机操作系统上使用的时候VirtualBox会安装VBoxDrv.sys内核驱动来控制guest操作系统的虚拟化。该驱动未经任何 验证便允许非特权用户以METHOD_NEITHER缓冲模式打开\\.\VBoxDrv设备,这就允许不可信任的用户态代码向驱动传送任意内核地址作为 参数。通过特制的输入,恶意用户就可以使用内核中的功能执行任意内核态代码。
以下是SUPDrv-win.cpp中用于处理IOCTL请求的函数:
/-----------
  NTSTATUS _stdcall VBoxDrvNtDeviceControl(PDEVICE_OBJECT pDevObj, PIRP
pIrp)
  {
    PSUPDRVDEVEXT       pDevExt = (PSUPDRVDEVEXT)pDevObj->DeviceExtension;
    PIO_STACK_LOCATION  pStack = IoGetCurrentIrpStackLocation(pIrp);
    PSUPDRVSESSION      pSession =
(PSUPDRVSESSION)pStack->FileObject->FsContext;
    /*
    * Deal with the two high-speed IOCtl that takes it's arguments from
    * the session and iCmd, and only returns a VBox status code.
    */
    ULONG ulCmd = pStack->Parameters.DeviceIoControl.IoControlCode;
    if (    ulCmd == SUP_IOCTL_FAST_DO_RAW_RUN

  1. ||  ulCmd == SUP_IOCTL_FAST_DO_HWACC_RUN

       ||  ulCmd == SUP_IOCTL_FAST_DO_NOP)
{
      KIRQL oldIrql;
      int   rc;
      /* Raise the IRQL to DISPATCH_LEVEl to prevent Windows fromrescheduling us to another CPU/core. */
      Assert(KeGetCurrentIrql() <= DISPATCH_LEVEL);
      KeRaiseIrql(DISPATCH_LEVEL, &oldIrql);

  1. rc = supdrvIOCtlFast(ulCmd, pDevExt, pSession);

     KeLowerIrql(oldIrql);
      /* Complete the I/O request. */
      NTSTATUS rcNt = pIrp->IoStatus.Status = STATUS_SUCCESS;
      pIrp->IoStatus.Information = sizeof(rc);
      __try
      {

  1. *(int *)pIrp->UserBuffer = rc;

      }
      __except(EXCEPTION_EXECUTE_HANDLER)
      {
        rcNt = pIrp->IoStatus.Status = GetExceptionCode();
        dprintf(("VBoxSupDrvDeviceContorl: Exception Code %#x\n", rcNt));
      }
      IoCompleteRequest(pIrp, IO_NO_INCREMENT);
      return rcNt;
}
    return VBoxDrvNtDeviceControlSlow(pDevExt, pSession, pIrp, pStack);
  }
- -----------/
在(1)处句子检查了IOCTL代码,SUPDrvIOC.h以如下方式定义:
/-----------
#define SUP_IOCTL_FAST_DO_RAW_RUN               SUP_CTL_CODE_FAST(64)
/** Fast path IOCtl: VMMR0_DO_HWACC_RUN */
#define SUP_IOCTL_FAST_DO_HWACC_RUN             SUP_CTL_CODE_FAST(65)
/** Just a NOP call for profiling the latency of a fast ioctl call to
VMMR0. */
#define SUP_IOCTL_FAST_DO_NOP                   SUP_CTL_CODE_FAST(66)
- -----------/
同一文件中还定义了SUP_CTL_CODE_FAST()宏:
/-----------
#define SUP_CTL_CODE_FAST(Function) CTL_CODE(FILE_DEVICE_UNKNOWN,
(Function)
                                       | SUP_IOCTL_FLAG, METHOD_NEITHER,
                                         FILE_WRITE_ACCESS)
- -----------/
这时可以知道所使用的通讯方式为METHOD_NEITHER,然后在(2)处将supdrvIOCtlFast()的返回值保存到了rc中,在(3)处 未经任何有效性检查便将rc中的值直接写入到了用户态所发送的缓冲区指针。在这种情况下,就可以对IOCTL提供内核地址,向 supdrvIOCtlFast()的返回值写入内核空间内存中的任意地址,以任意修改内核代码或内核指针,之后在ring 0环境中执行任意代码。
Sun已经为此发布了一个安全公告(Sun-Alert-240095)以及相应补丁:
http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-240095-1

 

OpenVPN客户端lladdr和iproute配置指令远程代码执行漏洞
OpenVPN是一个基于OpenSSL库的应用层VPN实现。
OpenVPN在处理畸形用户请求时存在漏洞,如果连接到恶意服务器的OpenVPN客户端接收到了lladdr或iproute配置命令的话,就会导致 在客户端上执行任意指令。只有当客户端运行在非Windows平台上且配置文件中允许服务器发送配置指令才受这个漏洞影响。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://openvpn.net/release/openvpn-2.1_rc9.tar.gz

 

Python多个整数溢出漏洞
Python是一种开放源代码的脚本编程语言。
Python中存在多个整数溢出漏洞,可能允许恶意用户导致拒绝服务或入侵有漏洞的系统。
1) stringobject、unicodeobject、bufferobject、longobject、tupleobject、stropmodule、gcmodule、mmapmodule等核心模块中存在各种整数溢出。
2) hashlib模块中的整数溢出可能导致不可信任的加密摘要结果。
3) 在处理unicode字符串时unicode_resize()中的整数溢出可能在32位系统上导致错误的内存分配。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://svn.python.org/view?rev=65335&view=rev

 

Apple Mac OS X 2008-005更新修复多个安全漏洞
Mac OS X是苹果家族机器所使用的操作系统。
Apple 2008-005安全更新修复了Mac OS X中的多个安全漏洞,本地或远程攻击者可能利用这些漏洞造成多种威胁。
CVE-2008-2320
处理超长文件名时的栈溢出漏洞可能导致应用意外终止或执行任意指令。
CVE-2008-2321
CoreGraphics在处理参数时存在多个内存破坏漏洞,通过浏览器等应用程序向CoreGraphics传送不可信任输入可能导致应用意外终止或执行任意指令。
CVE-2008-2322
处理PDF文件时的整数溢出可能导致堆溢出,查看了特制的PDF文件可能导致应用意外终止或执行任意代码。
CVE-2008-2323
Data Detectors在处理文字内容时存在资源耗尽漏洞,在使用Data Detectors的应用程序中查看恶意内容可能导致拒绝服务。
CVE-2008-2324
Disk Utility中的Repair Permissions工具设置了/usr/bin/emacs setuid。在运行Repair Permissions工具后,本地用户可以使用emacs以系统权限运行命令。
CVE-2008-2325
QuickLook处理Microsoft Office文件时存在多个内存破坏漏洞,下载恶意的Microsoft Office文件可能导致应用程序意外终止或执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=20388&cat=1&platform=osx&method=sa/SecUpd2008-005.dmg

 

Apple Mac OS X CoreGraphics堆溢出漏洞
Mac OS X是苹果家族机器所使用的操作系统。
Mac OS X的CoreGraphics组件没有正确的处理PDF文件,如果PDF文件的Type 1字体包含有超长长度参数的话,就会触发整数溢出,最终导致堆溢出,允许攻击者执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=20388&cat=1&platform=osx&method=sa/SecUpd2008-005.dmg

 

Apple Mac OS X CarbonCore栈溢出漏洞
Mac OS X是苹果家族机器所使用的操作系统。
Mac OS X的CarbonCore组件是一些底层Mac OS Toolbox管理器的工具集,CarbonCore的文件名解析代码中存在栈溢出漏洞,如果向CarbonCore框架文件管理API传送了超长文件名就可以触发这个溢出,导致执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=20388&cat=1&platform=osx&method=sa/SecUpd2008-005.dmg

 

MailEnable IMAP连接远程拒绝服务漏洞
MailEnable是一款商业性质的POP3和SMTP服务器。
MailEnable处理畸形请求时存在漏洞,如果远程攻击者对同一文件夹创建了大量的IMAP连接的话,就可能导致邮件服务器崩溃。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://www.mailenable.com/hotfix/ME-10042.EXE

 

Ingres数据库多个本地安全漏洞
Ingres是很多CA产品默认所使用的数据库后端。
Ingres数据库中所捆绑的ingvalidpw工具用于验证用户凭据。在加载共享库时,ingvalidpw程序会加载ingres用户目录中的库,因此拥有ingres权限的用户可以通过特制的库获得root权限。
Ingres数据库所捆绑的一些ingres工具会使用libbecompat库。在将环境变量拷贝到固定大小的栈缓冲区时,该库没有对源字符串执行长度检查,导致栈溢出漏洞。
Ingres所捆绑的verifydb工具用于清除数据库目录中不必要的文件。verifydb程序没有正确地更改文件权限,首先在当前目录创建了名为 iivdb.log的文件,然后设置为完全可写。如果本地攻击者创建了到属于ingres用户文件的符号链接,就可以获得对目标文件的写访问。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://www.ingres.com/index.php

 

Coppermine Photo Gallery lang参数本地文件包含漏洞
Coppermine是用PHP编写的多用途集成Web图形库脚本。
Coppermine Photo Gallery没有正确地过滤对data cookie中编码的lang部分输入便用于包含文件,这允许远程攻击者通过目录遍历攻击和空字节包含本地资源的任意文件。成功攻击要求将字符编码设置为 Unicode (utf-8),而这是默认配置。
目前厂商还没有提供补丁或者升级程序:
http://www.chezgreg.net/coppermine/

 

Apache Tomcat HttpServletResponse.sendError()跨站脚本漏洞
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat不仅在错误页面中显示了HttpServletResponse.sendError()调用的消息参数,同时也在HTTP响应的 reason-phrase中使用,这就可能在HTTP头中包含非法字符。特制的消息可能导致跨站脚本攻击,向HTTP响应中注入任意内容。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://mirror.atlanticmetro.net/apache/tomcat/tomcat-6/v6.0.18/bin/apache-tomcat-6.0.18.tar.gz

 

Apache Tomcat RequestDispatcher信息泄露漏洞
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Tomcat在使用RequestDispatcher时删除查询字符串之前会规则化目标路径,远程攻击者可以通过向Apache Tomcat服务器提交包含有特制请求参数的请求访问访问受限制的内容,或在WEB-INF目录下锁定受限制的内容。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://mirror.atlanticmetro.net/apache/tomcat/tomcat-6/v6.0.18/bin/apache-tomcat-6.0.18.tar.gz