低危 net-snmp up to 5.7.2 on Linux ICMP-MIB Table Object /proc/net/snmp decode_icmp_msg 拒绝服务漏洞

CVE编号

CVE-2014-2284

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-03-25

漏洞描述

Net-SNMP是一款开放源码的SNMP实现。 Net-SNMP使用ICMP-MIB时存在远程拒绝服务漏洞。允许远程攻击者利用漏洞提交特殊的请求，进行拒绝服务攻击，可使应用程序崩溃。

解决建议

Net-SNMP 5.5.2.1, 5.6.2.1和5.7.2.1已经修复该漏洞，建议用户下载更新：http://www.net-snmp.org/download.html

参考链接
http://comments.gmane.org/gmane.comp.security.oss.general/12284
http://lists.opensuse.org/opensuse-updates/2014-03/msg00060.html
http://lists.opensuse.org/opensuse-updates/2014-03/msg00061.html
http://rhn.redhat.com/errata/RHSA-2014-0321.html
http://secunia.com/advisories/57124
http://secunia.com/advisories/57526
http://secunia.com/advisories/57583
http://secunia.com/advisories/57870
http://secunia.com/advisories/59974
http://sourceforge.net/p/net-snmp/code/ci/a1fd64716f6794c55c34d77e618210238a73bfa1/
http://www.gentoo.org/security/en/glsa/glsa-201409-02.xml
http://www.ubuntu.com/usn/USN-2166-1

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	net-snmp	net-snmp	5.5	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.5.0.1	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.5.0.2	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.5.1	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.5.1.1	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.5.2	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.6	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.6.1.1	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.6.2	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.7	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.7.1	-
	运行在以下环境
	应用	net-snmp	net-snmp	5.7.2	-
	运行在以下环境
	系统	amazon_AMI	net-snmp	*		Up to (excluding) 5.5-49.18.amzn1
	运行在以下环境
	系统	centos_6	net-snmp-devel	*		Up to (excluding) 5.5-49.el6_5.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 5.7.2.1~dfsg-3
	运行在以下环境
	系统	debian_10	net-snmp	*		Up to (excluding) 5.7.2.1~dfsg-3
	运行在以下环境
	系统	debian_11	net-snmp	*		Up to (excluding) 5.7.2.1~dfsg-3
	运行在以下环境
	系统	debian_12	net-snmp	*		Up to (excluding) 5.7.2.1~dfsg-3
	运行在以下环境
	系统	debian_sid	net-snmp	*		Up to (excluding) 5.7.2.1~dfsg-3
	运行在以下环境
	系统	oracle_6	oraclelinux-release	*		Up to (excluding) 5.5-49.0.1.el6_5.1
	运行在以下环境
	系统	redhat_6	net-snmp	*		Up to (excluding) 1:5.5-49.el6_5.1
	运行在以下环境
	系统	suse_12	libsnmp30	*		Up to (excluding) 5.7.3-6.6
	运行在以下环境
	系统	ubuntu_12.04.5_lts	net-snmp	*		Up to (excluding) 5.4.3~dfsg-2.4ubuntu1.1

阿里云评分 3.2

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当

Exp相关链接

- avd.aliyun.com