漏洞信息详情

GNU Libmicrohttpd 远程安全漏洞

• CNNVD编号：CNNVD-201312-221
• 危害等级： 中危
  
• CVE编号： CVE-2013-7038
• 漏洞类型： 缓冲区溢出
• 发布时间： 2013-12-12
• 威胁类型： 远程
• 更新时间： 2013-12-17
• 厂        商： gnu
• 漏洞来源： Florian Weimer

漏洞简介

GNU Libmicrohttpd是GNU计划开发的一个小型的用来实现HTTP服务器的C类开发库，支持HTTP 1.1并可以同时侦听多个端口。

libmicrohttpd 0.9.31及之前的版本中的‘MHD_http_unescape’函数中存在越边界内存读取漏洞。远程攻击者可利用该漏洞获取敏感信息或造成拒绝服务（崩溃）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://gnunet.org/svn/libmicrohttpd/ChangeLog

参考网址

来源: gnunet.org

链接:https://gnunet.org/svn/libmicrohttpd/ChangeLog

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1039384

来源: bugs.gentoo.org

链接:https://bugs.gentoo.org/show_bug.cgi?id=493450

来源: BID

名称: 64138

链接:http://www.securityfocus.com/bid/64138

来源: MLIST

名称: [oss-security] 20131209 Re: CVE request: two issues in libmicro

链接:http://www.openwall.com/lists/oss-security/2013/12/09/11

来源: SECUNIA

名称: 55903

链接:http://secunia.com/advisories/55903

受影响实体

• Gnu Libmicrohttpd:0.9.18  
• Gnu Libmicrohttpd:0.9.17  
• Gnu Libmicrohttpd:0.9.16  
• Gnu Libmicrohttpd:0.9.19  
• Gnu Libmicrohttpd:0.9.20  

补丁

• libmicrohttpd-0.9.32