漏洞信息详情

GNU glibc ‘vfprintf’函数整数溢出漏洞

• CNNVD编号：CNNVD-201202-510
• 危害等级： 中危
  
• CVE编号： CVE-2012-0864
• 漏洞类型： 数字错误
• 发布时间： 2012-02-28
• 威胁类型： 远程
• 更新时间： 2013-05-03
• 厂        商： gnu
• 漏洞来源： Stefan Cornelius o...

漏洞简介

glibc（又名GNU C Library，libc6）是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

glibc 2.14及其他版本中的stdio-common/vfprintf.c中的‘vfprintf’函数中存在整数溢出漏洞。上下文相关的攻击者可通过大量的参数利用该漏洞绕过FORTIFY_SOURCE保护机制，实施格式化字符串攻击，并写入任意内存。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://rhn.redhat.com/errata/RHSA-2012-0531.HTML

参考网址

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=794766

来源: BID

名称: 52201

链接:http://www.securityfocus.com/bid/52201

来源: www.phrack.org

链接:http://www.phrack.org/issues.HTML?issue=67&id=9#article

来源: MLIST

名称: [libc-alpha] 20120202 [PATCH] vfprintf: validate nargs and positional offsets

链接:http://sourceware.org/ml/libc-alpha/2012-02/msg00023.HTML

来源: sourceware.org

链接:http://sourceware.org/git/?p=glibc.git;a=commitdiff;h=7c1f4834d398163d1ac8101e35e9c36fc3176e6e

来源: REDHAT

名称: RHSA-2012:0531

链接:http://rhn.redhat.com/errata/RHSA-2012-0531.HTML

来源: REDHAT

名称: RHSA-2012:0488

链接:http://rhn.redhat.com/errata/RHSA-2012-0488.HTML

来源: REDHAT

名称: RHSA-2012:0397

链接:http://rhn.redhat.com/errata/RHSA-2012-0397.HTML

来源: REDHAT

名称: RHSA-2012:0393

链接:http://rhn.redhat.com/errata/RHSA-2012-0393.HTML

来源:SECUNIA

名称:48291

链接:http://secunia.com/advisories/48291

来源:SECUNIA

名称:50476

链接:http://secunia.com/advisories/50476

来源:SECUNIA

名称:50614

链接:http://secunia.com/advisories/50614

来源:SECUNIA

名称:51555

链接:http://secunia.com/advisories/51555

受影响实体

• Gnu Glibc:2.14  

补丁

• glibc-2.17