当前位置: 安全纵横 > 安全公告

一周安全动态(11月15日-11月21日)

作者:安恒信息 日期:2010-11
Cisco ICM Setup Manager Agent.exe组件多个远程溢出漏洞

受影响系统:
Cisco Cisco Intelligent Contact Manager 6.0
Cisco Cisco Intelligent Contact Manager 5.0

描述:
________________________________________
BUGTRAQ ID: 44699
CVE ID: CVE-2010-3040

Cisco Unified Intelligent Contact Management(ICM)是思科统一通信系统的一个重要组成部分,提供了一套集成功能,允许企业部署一个混合了多个通信渠道的解决方案。

Cisco ICM中的Agent.exe组件没有正确地处理HandleUpgradeAll、AgentUpgrade、 HandleQueryNodeInfoReq和HandleUpgradeTrace类型报文,远程攻击者可以通过向默认监听的TCP 40078端口发送恶意报文触发栈溢出,导致以当前用户权限执行任意代码。

建议:
________________________________________
Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://tools.cisco.com/security/center/viewAlert.x?alertId=21726

PHP ZipArchive::getArchiveComment()函数空指针引用拒绝服务漏洞

受影响系统:
PHP PHP 5.3.3
PHP PHP 5.2.14

不受影响系统:
Apache Group Shiro 1.1.0

漏洞描述:
BUGTRAQ ID: 44718
CVE ID: CVE-2010-3709

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

ZipArchive库允许透明的读写ZIP压缩档案及其之中的文件。对于PHP中所使用的ZipArchive::getArchiveComment函数:

- ---
1945 static ZIPARCHIVE_METHOD(getArchiveComment)
1946 {
1947 struct zip *intern;
1948 zval *this = getThis();
1949 long flags = 0;
1950 const char * comment;
1951 int comment_len = 0;
1952
1953 if (!this) {
1954 RETURN_FALSE;
1955 }
1956
1957 ZIP_FROM_OBJECT(intern, this);
1958
1959 if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "|l", &flags)
== FAILURE) {
1960 return;
1961 }
1962
1963 comment = zip_get_archive_comment(intern, &comment_len,
(int)flags); <==== RETURN NULL AND -1
1964 RETURN_STRINGL((char *)comment, (long)comment_len, 1); <===== NULL
POINTER DEFERENCE HERE
1965 }
- ---

这种方式从zip_get_archive_comment()函数返回字符串。而在这个函数中:

- ---
40 ZIP_EXTERN(const char *)
41 zip_get_archive_comment(struct zip *za, int *lenp, int flags)
42 {
43 if ((flags & ZIP_FL_UNCHANGED)
44 || (za->ch_comment_len == -1)) {
45 if (za->cdir) {
46 if (lenp != NULL)
47 *lenp = za->cdir->comment_len;
48 return za->cdir->comment;
49 }
50 else {
51 if (lenp != NULL)
52 *lenp = -1; <===================== -1
53 return NULL; <==================== NULL
54 }
55 }
56
57 if (lenp != NULL)
58 *lenp = za->ch_comment_len;
59 return za->ch_comment;
60 }
- ---

52和53行应返回空指针和(int)-1。在结果中会以以下方式执行RETURN_STRINGL():

RETURN_STRINGL(NULL, -1, 1);

memcpy(3)中会出现崩溃。

安全建议:
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://shiro.apache.org/index.html

Juniper Networks Secure Access meeting_testjava.cgi远程跨站脚本漏洞

受影响系统:
Juniper Networks IVE OS 7.0
Juniper Networks IVE OS 6.5

不受影响系统:
Juniper Networks IVE OS 7.0 r3
Juniper Networks IVE OS 6.5 r7

描述:
________________________________________
BUGTRAQ ID: 44709

Juniper Networks的Secure Access是企业级的SSL VPN接入设备,设备上所运行的操作系统为Juniper IVE OS。

Secure Access中所实现的用于测试JVM兼容性的meeting_testjava.cgi页面在处理DSID HTTP头时存在跨站脚本漏洞,远程攻击者可以通过提交恶意HTTP请求向页面中注入任意JavaScript代码。

建议:
________________________________________
厂商补丁:

Juniper Networks
----------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.juniper.net/