漏洞信息详情
Libmcrypt内存泄露资源耗竭漏洞
- CNNVD编号:CNNVD-200301-016
- 危害等级: 低危
- CVE编号: CVE-2003-0032
- 漏洞类型: 设计错误
- 发布时间: 2003-01-17
- 威胁类型: 远程
- 更新时间: 2005-05-13
- 厂 商: mcrypt
- 漏洞来源: Ilia A.※ ilia@proh...
漏洞简介
limbcrypt是一款可代替标准UNIX crypt()的加密相关模块,可动态装载。 limbcrypt在装载算法时存在内存泄露问题,远程攻击者可以利用这个漏洞提交重复请求,使mcrypt库泄露大量内存而耗尽系统资源,造成拒绝服务攻击。 当libmcrypt通过libtool每次装载算法时,会有一小部分内存泄露(大概几K字节),在有些长久服务的环境下(WEB服务),攻击者向利用mcrypt库的应用程序重复提交请求,可导致消耗所有系统内存而产生拒绝服务攻击。
漏洞公告
厂商补丁: Mcrypt ------ 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Mcrypt Upgrade libmcrypt 2.5.5
http://mcrypt.hellug.gr/lib/index.HTML
参考网址
来源: DEBIAN 名称: DSA-228 链接:http://www.debian.org/security/2003/dsa-228 来源: BUGTRAQ 名称: 20030103 Multiple libmcrypt vulnerabilities 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104162752401212&w=2 来源: XF 名称: libmcrypt-libtool-memory-leak(10988) 链接:http://www.iss.net/security_center/static/10988.php 来源: BID 名称: 6512 链接:http://www.securityfocus.com/bid/6512 来源: BUGTRAQ 名称: 20030105 GLSA: libmcrypt 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104188513728573&w=2 来源: CONECTIVA 名称: CLA-2003:567 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000567
受影响实体
- Mcrypt Libmcrypt:2.5_.0
- Mcrypt Libmcrypt:2.5.3
- Mcrypt Libmcrypt:2.5.2
- Mcrypt Libmcrypt:2.5.1_r4
补丁
暂无
评论