漏洞信息详情
Perl win32_stat函数远程缓冲区溢出漏洞
- CNNVD编号:CNNVD-200405-015 <!--
- 危害等级: 超危-->
- 危害等级: 超危
- CVE编号: CVE-2004-0377
- 漏洞类型: 边界条件错误
- 发布时间: 2004-04-05
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: activestate
- 漏洞来源: Greg MacManus
-
漏洞简介
Perl是流行的跨平台编程语言。 ActivePerl和Larry Wall\'\'s Perl包含的\'\'win32_stat\'\'函数缺少正确的边界缓冲区检查,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以进程权限在系统上执行任意指令。 如果传递以反斜线符号结尾的文件名给这个\'\'win32_stat\'\'函数时,它拷贝数据到固定长度的缓冲区时,对字符串缺少正确的边界缓冲区检查,超长的字符串可覆盖堆栈中的控制信息,造成任意指令执行。 如果WEB包含的PERL脚本使用了这些函数,并允许用户提供路径名,就可能以WEB进程权限在系统上执行任意指令。
漏洞公告
厂商补丁: Larry Wall ---------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Committed to the Perl 5.9.x development branch:
http://public.activestate.com/cgi-bin/perlbrowse?patch=22466
Integrated into Perl 5.8.x maintenance branch as part of:
http://public.activestate.com/cgi-bin/perlbrowse?patch=22552
参考网址
来源:US-CERT Vulnerability Note: VU#722414 名称: VU#722414 链接:http://www.kb.cert.org/vuls/id/722414 来源: XF 名称: perl-win32stat-bo(15732) 链接:http://xforce.iss.net/xforce/xfdb/15732 来源: FULLDISC 名称: 20040405 iDEFENSE Security Advisory 04.05.04: Perl win32_stat Function 链接:http://lists.grok.org.uk/pipermail/full-disclosure/2004-April/019794.html 来源: public.activestate.com 链接:http://public.activestate.com/cgi-bin/perlbrowse?patch=22552 来源: www.idefense.com 链接:http://www.idefense.com/application/poi/display?id=93&type=vulnerabilities 来源: BUGTRAQ 名称: 20040405 [Full-Disclosure] iDEFENSE Security Advisory 04.05.04: Perl win32_stat Function 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108118694327979&w=2
受影响实体
- Activestate Activeperl<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...