漏洞信息详情

Perforce Software Perforce Helix ALM拒绝服务漏洞

• CNNVD编号：CNNVD-200907-284
• 危害等级： 中危
  
• CVE编号： CVE-2009-2533
• 漏洞类型： 输入验证
• 发布时间： 2009-07-20
• 威胁类型： 远程
• 更新时间： 2021-07-13
• 厂        商： realnetworks
• 漏洞来源： Damian Frizza

漏洞简介

Perforce Software Perforce Helix ALM是美国Perforce Software公司的一个应用软件。提供产品的应用程序生命周期管理。。

如果rmserver进程接受到了没有DataConvertBuffer参数内容的RTSP (SET_PARAMETER)请求，处理代码会在0内存位置读取并触发异常。这种异常是可以正确处理的，但如果多次发送这种畸形请求，就会导致rmserver进程没有响应并停止执行。以下是出发异常的代码段：

/-----------

00458066 |. C745 08 00000000 MOV DWORD PTR SS：[EBP+8]，0

*Sets the content of the local variable to 0

0045806D |. 8B10 MOV EDX，DWORD PTR DS：[EAX]

0045806F |. 50 PUSH EAX

00458070 |. FF52 2C CALL DWORD PTR DS：[EDX+2C]

00458073 |. 8B45 08 MOV EAX，DWORD PTR SS：[EBP+8]

00458076 |. 8B10 MOV EDX，DWORD PTR DS：[EAX] *

Tries to read form 0 memory location

- -----------/

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.realnetworks.com

参考网址

来源: VUPEN

名称: ADV-2009-1947

链接:http://www.vupen.com/english/advisories/2009/1947

来源: BID

名称: 35731

链接:http://www.securityfocus.com/bid/35731

来源: BUGTRAQ

名称: 20090717 CORE-2009-0227: Real Helix DNA RTSP and SETUP request handler vulnerabilities

链接:http://www.securityfocus.com/archive/1/archive/1/505083/100/0/threaded

来源: MILW0RM

名称: 9198

链接:http://www.milw0rm.com/exploits/9198

来源: MISC

链接:http://www.coresecurity.com/content/real-helix-dna

来源: OSVDB

名称: 55981

链接:http://osvdb.org/55981

来源: docs.real.com

链接:http://docs.real.com/docs/security/SecurityUpdate071409HS.pdf

受影响实体

• Realnetworks Helix_server:12.0.1  
• Realnetworks Helix_server:12.0.0  
• Realnetworks Helix_server_mobile:11.0  
• Realnetworks Helix_server_mobile:12.0.0  

补丁

暂无