Zeroo HTTP远程缓冲区溢出漏洞(CNVD-2002-4064)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2002-11-18漏洞描述
Zeroo HTTP Server是一款简单快速的WEB服务器程序。Zeroo HTTP服务程序对用户的请求缺少正确缓冲区长度检查,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击,以WEB进程的权限在系统上执行任意指令。攻击者向Zeroo HTTP服务程序提交超长URI请求,可导致触发缓冲区溢出攻击,精心构建提交数据可以以WEB进程的权限在系统上执行任意指令。问题代码存在与HttpWrite()函数中,在拷贝过程中缺少正确检查:__67 char *HttpWrite(char *in, const char *message, ......69 char buffer[MAX_CONN_BUF]; // #define MAX_CONN_BUF 1024...72 va_start(arglist, message);73 vsprintf(buffer, message, arglist); // here.74 va_end(arglist);7576 strncpy(in+strlen(in), buffer, strlen(buffer)); // ok.--解决建议
Zeroo-----目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://lonerunner.cfxweb.net/
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2002-4064 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论