漏洞信息详情
Network Audio System 多个缓冲区溢出漏洞
- CNNVD编号:CNNVD-201308-310
- 危害等级: 中危
- CVE编号: CVE-2013-4256
- 漏洞类型: 缓冲区溢出
- 发布时间: 2013-08-22
- 威胁类型: 本地
- 更新时间: 2013-10-10
- 厂 商: canonical
- 漏洞来源: Hamid Zamani
漏洞简介
Network Audio System(NAS)是一套采用客户机/服务器结构的网络音频传输系统。该系统支持音频传输、音频处理、音频存储等。
NAS 1.9.3版本中存在基于栈的缓冲区溢出漏洞和基于堆的缓冲区溢出漏洞。本地攻击者可通过(1)向server/os/utils.c文件中的ProcessCommandLine函数传递‘display command’参数(2)server/os/access.c文件中的ResetHosts函数(3)server/os/connection.c文件中的open_unix_socket函数,open_isc_local函数,open_xsight_local函数,open_att_local函数或open_att_svr4_local函数(4)server/os/connection.c文件中的CreateWellKnownSockets或AmoebaTCPConnectorThread函数的AUDIOHOST环境变量或(5server/os/aulog.c文件中的osLogMsg函数,利用该漏洞造成拒绝服务(崩溃)或执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.openwall.com/lists/oss-security/2013/08/19/3
参考网址
来源: MLIST
名称: [oss-security] 20130819 Re: CVE Request : NAS v1.9.3 multiple Vulnerabilites
链接:http://www.openwall.com/lists/oss-security/2013/08/19/3
来源: MLIST
名称: [oss-security] 20130816 CVE Request : NAS v1.9.3 multiple Vulnerabilites
链接:http://www.openwall.com/lists/oss-security/2013/08/16/2
来源: sourceforge.net
链接:http://sourceforge.net/p/nas/code/288
来源: UBUNTU
名称: USN-1986-1
链接:http://www.ubuntu.com/usn/USN-1986-1
来源: MLIST
名称: [nas] 20130807 nas: Multiple Vulnerabilities in nas 1.9.3
链接:http://radscan.com/pipermail/nas/2013-August/001270.HTML
来源: BID
名称: 61848
链接:http://www.securityfocus.com/bid/61848
受影响实体
- Canonical Ubuntu_linux:13.04
- Canonical Ubuntu_linux:12.10
补丁
- nas_1.9.3-5ubuntu0.12.10.1
- nas_1.9.3-5ubuntu0.13.04.1
- nas_1.9.3-4ubuntu0.1
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论