漏洞信息详情

Network Audio System 多个缓冲区溢出漏洞

• CNNVD编号：CNNVD-201308-310
• 危害等级： 中危
  
• CVE编号： CVE-2013-4256
• 漏洞类型： 缓冲区溢出
• 发布时间： 2013-08-22
• 威胁类型： 本地
• 更新时间： 2013-10-10
• 厂        商： canonical
• 漏洞来源： Hamid Zamani

漏洞简介

Network Audio System（NAS）是一套采用客户机/服务器结构的网络音频传输系统。该系统支持音频传输、音频处理、音频存储等。

NAS 1.9.3版本中存在基于栈的缓冲区溢出漏洞和基于堆的缓冲区溢出漏洞。本地攻击者可通过(1)向server/os/utils.c文件中的ProcessCommandLine函数传递‘display command’参数(2)server/os/access.c文件中的ResetHosts函数(3)server/os/connection.c文件中的open_unix_socket函数，open_isc_local函数，open_xsight_local函数，open_att_local函数或open_att_svr4_local函数(4)server/os/connection.c文件中的CreateWellKnownSockets或AmoebaTCPConnectorThread函数的AUDIOHOST环境变量或(5server/os/aulog.c文件中的osLogMsg函数，利用该漏洞造成拒绝服务（崩溃）或执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.openwall.com/lists/oss-security/2013/08/19/3

参考网址

来源: MLIST

名称: [oss-security] 20130819 Re: CVE Request : NAS v1.9.3 multiple Vulnerabilites

链接:http://www.openwall.com/lists/oss-security/2013/08/19/3

来源: MLIST

名称: [oss-security] 20130816 CVE Request : NAS v1.9.3 multiple Vulnerabilites

链接:http://www.openwall.com/lists/oss-security/2013/08/16/2

来源: sourceforge.net

链接:http://sourceforge.net/p/nas/code/288

来源: UBUNTU

名称: USN-1986-1

链接:http://www.ubuntu.com/usn/USN-1986-1

来源: MLIST

名称: [nas] 20130807 nas: Multiple Vulnerabilities in nas 1.9.3

链接:http://radscan.com/pipermail/nas/2013-August/001270.HTML

来源: BID

名称: 61848

链接:http://www.securityfocus.com/bid/61848

受影响实体

• Canonical Ubuntu_linux:13.04  
• Canonical Ubuntu_linux:12.10  

补丁

• nas_1.9.3-5ubuntu0.12.10.1
• nas_1.9.3-5ubuntu0.13.04.1
• nas_1.9.3-4ubuntu0.1