漏洞信息详情
DNS4Me远程拒绝服务及跨站脚本攻击漏洞
- CNNVD编号:CNNVD-200409-048
- 危害等级: 低危
- CVE编号: CVE-2004-1691
- 漏洞类型: 输入验证
- 发布时间: 2004-09-18
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: rhinosoft
- 漏洞来源: James Bercegay※ se...
漏洞简介
DNS4Me是一款动态DNS服务系统,可使用域名关联动态IP。 DNS4Me存在多个安全问题,远程攻击者可以利用这些漏洞对系统进行拒绝服务及跨站脚本攻击。 跨站脚本攻击漏洞: 攻击者可以构建恶意URL连接,诱使用户访问, 可导致恶意代码在用户浏览器上执行,导致敏感信息泄露: http://127.0.0.1/?\\%3E\\%3Cscript\\%3Ealert(\'\'XSS\'\')\\%3C/script\\%3E 拒绝服务攻击: 恶意用户可以发送超大数据到80端口,或DNS4Me Web服务程序运行的端口,可导致CPU使用率达到99\\%而造成拒绝服务。
漏洞公告
厂商补丁: RhinoSoft --------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dns4me.com/
参考网址
来源: XF 名称: dns4me-dos(17426) 链接:http://xforce.iss.net/xforce/xfdb/17426 来源: BID 名称: 11213 链接:http://www.securityfocus.com/bid/11213 来源: www.gulftech.org 链接:http://www.gulftech.org/?node=research&article_id=00049-09162004 来源: SECTRACK 名称: 1011334 链接:http://securitytracker.com/id?1011334 来源: SECUNIA 名称: 12595 链接:http://secunia.com/advisories/12595 来源: BUGTRAQ 名称: 20040918 RhinoSoft DNS4ME HTTP Server Vulnerabilities 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109552436811493&w=2
受影响实体
- Rhinosoft Dns4me:3.0.0.4
补丁
暂无
评论