漏洞信息详情
Abyss Web Server远程超长GET请求堆破坏漏洞
- CNNVD编号:CNNVD-200312-172
- 危害等级: 高危
- CVE编号: CVE-2003-1337
- 漏洞类型: 缓冲区溢出
- 发布时间: 2003-06-30
- 威胁类型: 远程
- 更新时间: 2007-09-24
- 厂 商: aprelium_technologies
- 漏洞来源: FozZy fozzy@dmpfra...
漏洞简介
Abyss Web Server是一宽免费的个人性质的WEB服务程序。 Abyss Web服务程序由于没有充分检查通过用户提交的HTTP GET请求,远程攻击者可以利用这个漏洞对服务进行缓冲区溢出攻击,可能以WEB进程权限在系统上执行任意指令。 Abyss Web服务对GET请求在堆上分配0x800大小的缓冲区,由于在调用strcpy()函数时没有对输入参数进行边界缓冲区检查,通过提交超长GET请求并最后追加\":\\"字符,可触发溢出,精心构建提交数据可能以WEB进程权限在系统上执行任意指令。
漏洞公告
厂商补丁: Aprelium Technologies --------------------- 目前厂商已经在1.1.6及以后的版本中修复了这个安全问题,请到厂商的主页下载:
http://www.aprelium.com
参考网址
来源: XF 名称: abyss-http-get-bo(12466) 链接:http://xforce.iss.net/xforce/xfdb/12466 来源: BID 名称: 8062 链接:http://www.securityfocus.com/bid/8062 来源: BUGTRAQ 名称: 20030629 Aprelium Abyss webserver X1 arbitrary code execution and header injection 链接:http://archives.neohapsis.com/archives/bugtraq/2003-06/0235.HTML 来源:NSFOCUS 名称:5076 链接:http://www.nsfocus.net/vulndb/5076
受影响实体
- Aprelium_technologies Abyss_web_server:1.1.2
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论