Несколько уязвимостей в Services for Unix 3.0 Interix SDK позволяют выполнять произвольный код

Дата публикации:
03.10.2002
Всего просмотров:
734
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Interix SDK for Microsoft Service for Unix 3
Описание: Все три уязвимости, обсужденные в этом бюллетене, связанны с Sun [TM] Microsystems RPC library в Microsoft's Services for UNIX (SFU) 3.0 на Interix SDK. В версии 3.0 технология подсистемы Interix встроена таким образом, что Windows Services for UNIX 3.0 может обеспечить совместимость платформ и перенос приложений на один полностью интегрированный и поддерживаемый продукт Microsoft. Разработчики, которые создавали приложения или утилиты, используя Sun RPC library в Interix SDK, должны обратить внимание на эти уязвимости.

Первая уязвимость - целочисленное переполнение в XDR библиотеке, которая поставляется с Sun RPC library в Interix SDK для Microsoft's Services for Unix (SFU) 3.0. Нападающий может послать злонамеренный RPC запрос на RPC сервер, и вызвать искажение в программе сервера. Уязвимость позволяет атакующему выполнять произвольный код в выбор в контексте программы сервера.

Вторая уязвимость – переполнение буфера. Атакующий может послать злонамеренный RPC запрос на RPC сервер с чрезмерно большими параметрами. Уязвимость может привести к переполнению буфера и аварийному завершению работы сервера.

Третья уязвиомость – ошибка RPC выполнения. Приложения, использующие Sun RPC библиотеку, должным образом не проверяют размер TCP запросов клиента. Уязвимость может привести к отказу в обслуживании в серверных приложениях, использующих Sun RPC библиотеку. RPC библиотека ожидает, что клиентский TCP запрос определит размер запрашиваемых параметров. Поскольку недостаток находится в механизме определения пакетов клиента, то нападающий может послать уродливый RPC запрос к RPC серверу, который не сможет быть корректно обработан сервером и приведет к его зависанию.

После установки заплаты, все приложения, использующие Interix SDK Sun RPC, должны быть перекомпилированы.

Уязвимость обнаружена в Services for Unix 3.0 Interix SDK

или введите имя

CAPTCHA