漏洞信息详情
Firebird GDS_Inet_Server Interbase环境变量本地缓冲区溢出漏洞
- CNNVD编号:CNNVD-200306-083
- 危害等级: 中危
- CVE编号: CVE-2003-0281
- 漏洞类型: 边界条件错误
- 发布时间: 2003-05-10
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: firebirdsql
- 漏洞来源: bob [email protected]
漏洞简介
Firebird是一款提供多个ANSI SQL-92功能的关系型数据库,可运行在Linux, Windows和各种Unix平台下。 Firebird包含的多个应用程序处理环境变量不正确,本地攻击者可以利用这个漏洞进行缓冲区溢出攻击,可以以高权限在系统上执行任意指令。 Firebird包含的gds_inet_server、gds_drop、gds_lock_mgr三个二进制程序都会调用getenv()函数获得INTERBASE环境变量,但是没有对环境变量值进行充分的缓冲区检查,攻击者提供超长字符串给环境变量,可以触发缓冲区溢出,精心构建提交数据可能以高权限(一般是root)在系统上执行任意指令。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 使用chmod -s去掉相关应用程序S位。 厂商补丁: Firebird -------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.firebirdsql.org/
参考网址
来源: XF 名称: firebird-interbase-bo(11977) 链接:http://xforce.iss.net/xforce/xfdb/11977 来源: BID 名称: 7546 链接:http://www.securityfocus.com/bid/7546 来源: GENTOO 名称: GLSA-200405-18 链接:http://security.gentoo.org/glsa/glsa-200405-18.xml 来源: SECUNIA 名称: 8758 链接:http://secunia.com/advisories/8758 来源: BUGTRAQ 名称: 20020617 Interbase 6.0 malloc() issues 链接:http://seclists.org/lists/bugtraq/2002/Jun/0212.HTML 来源: BUGTRAQ 名称: 20030509 Firebird Local exploit 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105259012802997&w=2
受影响实体
- Firebirdsql Firebird:1.0.2
补丁
暂无
评论