漏洞信息详情
TalentSoft Web+ Web markup语言存在缓冲溢出漏洞
- CNNVD编号:CNNVD-200207-110
- 危害等级: 超危
- CVE编号: CVE-2002-0450
- 漏洞类型: 边界条件错误
- 发布时间: 2002-03-13
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: talentsoft
- 漏洞来源: NGSSoftware Insigh...
漏洞简介
TalentSoft Web+是一款开发基于WEB的客户端/服务器端应用程序的环境,运行在Microsoft windows 9x/NT/2000和Unix操作系统上。 TalentSoft Web+的Web markup语言(.wml)存在远程缓冲区溢出漏洞,可以导致远程攻击者利用这个漏洞获得httpd权限的访问。 由于对TalentSoft Web+对文件名的边界检查缺少正确检查,远程用户可以提交包含超长名的.wml文件给TalentSoft Web+服务程序,导致程序出现返回地址覆盖,以httpd的权限执行任意代码。 发送任意数据给服务器程序,会导致对TalentSoft Web+崩溃。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 使用防火墙对TalentSoft Web+服务进行访问控制,不允许不可信用户访问。 厂商补丁: TalentSoft ---------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
TalentSoft Web+ Server 4.6:
TalentSoft Patch webplus_46_security_patch2
ftp://ftp.talentsoft.com/download/webplus/windows/webplus_46_security_patch2.exe
Windows
TalentSoft Patch webplus_46_linux_dynamic_security_patch2
ftp://ftp.talentsoft.com/download/webplus/unix/patches/webplus_46_linux_dynamic_security_patch2.tar.gz
Linux (libc5)
TalentSoft Patch webplus_46_solaris_sparc_security_patch2
ftp://ftp.talentsoft.com/download/webplus/unix/patches/webplus_46_solaris_sparc_security_patch2.tar.gz
Sun Solaris
TalentSoft Web+ Server 5.0:
TalentSoft Patch webplus_50_security_patch
ftp://ftp.talentsoft.com/download/webplus/windows/webplus_50_security_patch.exe
Windows
TalentSoft Patch webplus_50_linux_dynamic_security_patch
ftp://ftp.talentsoft.com/download/webplus/unix/patches/webplus_50_linux_dynamic_security_patch.tar.gz
Linux (libc5)
参考网址
来源: BID 名称: 4282 链接:http://www.securityfocus.com/bid/4282 来源: www.talentsoft.com 链接:http://www.talentsoft.com/Issues/IssueDetail.wml?ID=WP943 来源: XF 名称: webplus-wml-bo(8446) 链接:http://www.iss.net/security_center/static/8446.php 来源: BUGTRAQ 名称: 20020313 2nd Buffer Overflow in Talentsoft's Web+ (#NISR13032002) 链接:http://cert.uni-stuttgart.de/archive/bugtraq/2002/03/msg00208.HTML
受影响实体
- Talentsoft Web%2b_server:5.0
- Talentsoft Web%2b_server:4.6
- Talentsoft Web%2b_server:5.0
- Talentsoft Web%2b_server:4.6
补丁
暂无
评论