漏洞信息详情

Abyss Web Server远程超长GET请求堆破坏漏洞

• CNNVD编号：CNNVD-200312-172
• 危害等级： 高危
  
• CVE编号： CVE-2003-1337
• 漏洞类型： 缓冲区溢出
• 发布时间： 2003-06-30
• 威胁类型： 远程
• 更新时间： 2007-09-24
• 厂        商： aprelium_technologies
• 漏洞来源： FozZy fozzy@dmpfra...

漏洞简介

Abyss Web Server是一宽免费的个人性质的WEB服务程序。 Abyss Web服务程序由于没有充分检查通过用户提交的HTTP GET请求，远程攻击者可以利用这个漏洞对服务进行缓冲区溢出攻击，可能以WEB进程权限在系统上执行任意指令。 Abyss Web服务对GET请求在堆上分配0x800大小的缓冲区，由于在调用strcpy()函数时没有对输入参数进行边界缓冲区检查，通过提交超长GET请求并最后追加\"：＼\"字符，可触发溢出，精心构建提交数据可能以WEB进程权限在系统上执行任意指令。

漏洞公告

厂商补丁： Aprelium Technologies --------------------- 目前厂商已经在1.1.6及以后的版本中修复了这个安全问题，请到厂商的主页下载：

http://www.aprelium.com

参考网址

来源: XF 名称: abyss-http-get-bo(12466) 链接:http://xforce.iss.net/xforce/xfdb/12466 来源: BID 名称: 8062 链接:http://www.securityfocus.com/bid/8062 来源: BUGTRAQ 名称: 20030629 Aprelium Abyss webserver X1 arbitrary code execution and header injection 链接:http://archives.neohapsis.com/archives/bugtraq/2003-06/0235.HTML 来源：NSFOCUS 名称：5076 链接：http://www.nsfocus.net/vulndb/5076

受影响实体

• Aprelium_technologies Abyss_web_server:1.1.2  

补丁

暂无