中危 GNU screen up to 4.3.1 Recursion ansi.c MScrollV 拒绝服务漏洞

CVE编号

CVE-2015-6806

利用情况

暂无

补丁情况

官方补丁

披露时间

2015-09-29

漏洞描述

GNU Screen是一套用于命令行终端切换的自由软件。 GNU Screen存在一个栈溢出漏洞。攻击者可利用漏洞使应用程序崩溃，造成拒绝服务。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：https://www.debian.org/security/2015/dsa-3352

参考链接
http://git.savannah.gnu.org/cgit/screen.git/commit/?id=b7484c224738247b510ed0...
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00001.html
http://www.debian.org/security/2015/dsa-3352
http://www.openwall.com/lists/oss-security/2015/09/01/1
http://www.openwall.com/lists/oss-security/2015/09/03/11
http://www.openwall.com/lists/oss-security/2015/09/03/4
https://savannah.gnu.org/bugs/?45713
https://usn.ubuntu.com/3996-1/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	gnu	gnu_screen	*		Up to (including) 4.3.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 4.3.1-2
	运行在以下环境
	系统	debian_10	screen	*		Up to (excluding) 4.3.1-2
	运行在以下环境
	系统	debian_11	screen	*		Up to (excluding) 4.3.1-2
	运行在以下环境
	系统	debian_12	screen	*		Up to (excluding) 4.3.1-2
	运行在以下环境
	系统	debian_6	screen	*		Up to (excluding) 4.0.3-14+deb6u1
	运行在以下环境
	系统	debian_7	screen	*		Up to (excluding) 4.1.0~20120320gitdb59704-7+deb7u1
	运行在以下环境
	系统	debian_8	screen	*		Up to (excluding) 4.2.1-3+deb8u1
	运行在以下环境
	系统	debian_sid	screen	*		Up to (excluding) 4.3.1-2
	运行在以下环境
	系统	opensuse_Leap_42.3	screen	*		Up to (excluding) 4.0.4-10.3.1
	运行在以下环境
	系统	suse_12	screen	*		Up to (excluding) 4.0.4-23.3
	运行在以下环境
	系统	suse_12_SP3	screen	*		Up to (excluding) 4.0.4-23.3.3
	运行在以下环境
	系统	suse_12_SP4	screen	*		Up to (excluding) 4.0.4-23.3.3
	运行在以下环境
	系统	ubuntu_16.04.7_lts	screen	*		Up to (excluding) 4.3.1-2
	运行在以下环境
	系统	ubuntu_18.04.5_lts	screen	*		Up to (excluding) 4.3.1-2
	运行在以下环境
	系统	ubuntu_18.10	screen	*		Up to (excluding) 4.3.1-2

阿里云评分 6.9

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当

Exp相关链接

- avd.aliyun.com