漏洞信息详情
Logsurfer ‘prepare_exec’函数资源管理错误漏洞
- CNNVD编号:CNNVD-201201-393
- 危害等级: 高危
- CVE编号: CVE-2011-3626
- 漏洞类型: 资源管理错误
- 发布时间: 2012-01-27
- 威胁类型: 远程
- 更新时间: 2012-02-01
- 厂 商: kerry_thompson
- 漏洞来源:
漏洞简介
Logsurfer 1.5b及之前版本与 Logsurfer+ 1.7及之前版本的src/exec.c的prepare_exec函数中存在双重释放漏洞。远程攻击者可利用该漏洞借助日志文件中的特制字符串执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://logsurfer.git.sourceforge.net/git/gitweb.cgi?p=logsurfer/logsurfer;a=commit;h=07983748da9ea3d4954b80f02fed692fe21b1134
参考网址
来源: bugs.gentoo.org
链接:https://bugs.gentoo.org/show_bug.cgi?id=387397
来源: MLIST
名称: [oss-security] 20111017 CVE request: double-free vulnerability in logsurfer
链接:http://www.openwall.com/lists/oss-security/2011/10/17/2
来源: MLIST
名称: [oss-security] 20111017 Re: CVE request: double-free vulnerability in logsurfer
链接:http://www.openwall.com/lists/oss-security/2011/10/17/4
来源: GENTOO
名称: GLSA-201201-04
链接:http://security.gentoo.org/glsa/glsa-201201-04.xml
来源: SECUNIA
名称: 47725
链接:http://secunia.com/advisories/47725
来源: SECUNIA
名称: 46389
链接:http://secunia.com/advisories/46389
受影响实体
- Kerry_thompson Logsurfer%2b:1.5a
- Kerry_thompson Logsurfer%2b:1.5b
- Kerry_thompson Logsurfer%2b:1.6
- Kerry_thompson Logsurfer%2b:1.6a
- Kerry_thompson Logsurfer%2b:1.6b
补丁
- logsurfer-1.8
评论