Lotus Domino 模板文件泄露漏洞
Lotus Domino 是由IBM开发的应用程序服务器,它的一个特点就是远程用户可以通过基于Web的接口与Lotus Notes 数据库进行交互操作。该软件存在一个安全问题,可能允许攻击者浏览任意系统文件。
通过指定“Replica ID”,远程攻击者可能访问到Web管理员的模板文件,并可能进一步访问到Web Server有读权限的任意系统文件。
Microsoft ISA Server 拒绝服务漏洞
Microsoft ISA Server 是一款企业级的代理服务器和防火墙产品。该软件存在一个安全问题,可能导致该软件拒绝服务。通过发送大量的UDP碎片包到ISA服务器,即可达到这种效果。
LibDB snprintf 缓冲区溢出漏洞
libdb 是Berkeley DB 软件包的实现,是由SleepyCat 公司发布的,包含在很多的操作系统中。该软件存在一个安全问题,可能允许本地或者远程攻击者提升权限。
这是由于libdb实现使用了不安全的snprintf/vsnprintf实现,并没有有效的检查数据的大小,而是直接交给sprintf处理。因此,所有使用libdb库的程序都有可能存在缓冲区溢出问题。
Cyrus-SASL Syslog 格式化字符串漏洞
Cyrus-SASL 是SASL,即“Simple Authentication and Security Layer”的开放源代码实现。该软件存在安全问题,可能导致攻击者执行任意代码。
Cyrus SASL 的内部日志函数存在一个格式化字符串漏洞,这可能允许攻击者执行任意代码。问题出在_sasl_syslog()函数中对syslog()的一个不安全调用:
static int _sasl_syslog(void *context __attribute__((unused)),
int priority,
const char *message)
......
/* do the syslog call. do not need to call openlog */
syslog(syslog_priority | LOG_AUTH, message);
return SASL_OK;
}
Progress Database 格式化字符串漏洞
Progress Database 是一款商业数据库产品,是由Progress Software 公司发布和维护
的。该数据库存在一个安全问题,可能导致本地攻击者提升权限。
Progress Database 存在格式化字符串漏洞。该数据库中很多程序依赖环境变量“PROMSGS”来加载数据库依赖的文件,通过精心构造一个包含格式化字符串的文件,
如果运行setuid程序,当调用环境变量“PROMSGS”时,可能允许攻击者重写任意进程内存,从而导致提升权限。
Dream Catchers Post-It! CGI 远程执行任意命令漏洞
Post-It! 是一个用于向HTML文件添加注释的CGI程序。它存在一个安全问题,允许攻击者以Web Server权限运行任意命令。
这是由于该CGI脚本没有对用户输入的参数进行任何过滤,然后直接交给shell命令处理造成的。
e-Zone Media FuseTalk 表格输入验证漏洞
e-Zone Media FuseTalk 是一款基于Web的论坛程序,允许用户创建交互式的通讯。该程序存在一个安全问题,可能允许攻击者修改SQL查询串。这是因为“join.cfm”没有对用户的输入进行任何过滤的结果。
Microsoft UPnP 拒绝服务漏洞
Microsoft Windows ME/XP所带的UpnP服务实现存在一个安全漏洞。可能造成远程拒绝服务漏洞。
通用即插即用(UPnP)服务使计算机能够发现和使用基于网络的设备。Windows ME和XP自带UPnP服务;Windows 98和98SE没有自带的UPnP服务,但可以Windows XP的互联网连接共享客户端安装这一服务。
由于UPnP服务不能正确地处理某种类型的无效请求,因此产生了一个安全漏洞。Windows98、98SE和ME系统在接收到这样的一个请求之后会出现各种后果,可能造成性能降低甚至系统崩溃。Windows XP系统受到的影响没有那么严重,因为该漏洞含有一个内存泄漏问题。Windows XP系统每次接收到这样的一个请求时,就会有一小部分系统内存无法使用;如果这种情况重复发生,就会耗尽系统资源,使性能降低,甚至完全终止。
WS_FTP Server v2.0.3 缓冲区溢出漏洞
WS_FTP Server 是基于Windows平台的FTP服务器软件,该软件的2.0.3 版本存在一个缓冲区溢出漏洞,可能允许远程攻击者执行任意代码。
这是由于解析“STAT”命令的代码没有验证用户输入的参数长度,如果攻击者输入一个超长的参数给'STAT'命令,就会发生缓冲区溢出。
RH Linux Tux HTTPD 拒绝服务漏洞
Tux 是内核空间的HTTP Server,可以最大地提高性能,能够与用户空间的HTTPServer,如Apache同时工作,缺省情况下是禁止的。该软件存在一个安全问题,可能
导致拒绝服务。
通过向远程服务器发送超长的“Host:”头,就可以导致远程服务器拒绝服务,只有重新启动才能恢复正常工作。
Entrust GetAccess(tm) Access 服务文件泄漏漏洞
Entrust getAccess[tm] 使用缺省的shell脚本来运行Java类文件,但是这些shell脚本缺乏足够的输入检查,可能导致泄露文件内容或者目录文件列表。
GetAccess提供了一个本地化机制以便可以通过指定语言模板来显示信息页面。本地化模板通过locale变量来指定,由于没有对locale变量进行安全检查,攻击者可
以通过输入包含"../"的路径或者文件名来查看任意cgi有权读取的文件内容或者目录列表。
Raptor Firewall 零长度UDP包资源耗尽漏洞
Raptor Firewall 是一款商业防火墙产品,是由Symantec 公司发布的。该软件存在一个安全问题,可能导致资源耗尽。通过发送零长度的UDP包到该防火墙,可以导致CPU占用率100%,放置该防火墙的主机速度变慢。
Linux Syn cookies 过滤规则绕过漏洞
Linux 包过滤存在安全问题,如果使用了“synookies”的话,可能允许攻击者绕过某些规则。
当在“syn-flood”保护模式下处理连接请求时,针对设置了“syn”标志的TCP包的过滤规则无法正确作用。如果攻击者能够猜出一个有效的“syn cookie”响应,就可能访问到该主机提供的服务。
Zone Labs ZoneAlarm Pro 未授权的本地安全设置问题
ZoneAlarm 存在一个安全问题,允许未授权用户在本地局域网安全设置下连接到该防火墙保护的主机。
如果访问者IP地址的前两个八位字节和受保护的主机的IP地址相同,那么该访问者主机就被认为是本地主机,也就能够按照本地安全设置访问受保护的主机。
IBM AS/400 HTTP Server 暴露网页源码问题
IBM AS/400 HTTP Server 存在一个安全问题,通过在请求网页文件名(如.html或.jsp)后添加字符“/”,可以得到网页的源码,而不是经过服务器端解释过的网页。
||||||ToolTalk Library 缓冲区溢出漏洞
ToolTalk是Common Desktop Environment (CDE)软件包的一部分,随同多种商业版UNIX操作系统一起发布。其库文件存在一个安全问题,可能允许攻击者提升权限。
由于不正确的边界检查,导致任何链接到该库文件的可执行程序存在缓冲区溢出漏洞,可能导致攻击者提升权限。
Rational ClearCase DB Loader TERM 环境变量缓冲区溢出漏洞ClearCase 是一款软件变动管理软件包,由Rational维护和发布。该软件存在一个安全问题,可能允许本地攻击者获取root权限。由于db_loader 没有正确检查用户输入的TERM环境变量,攻击者通过精心构造一个特殊的TERM环境变量,可能导致任意代码执行,攻击者就能因此而提升权限。
Slashcode 可猜测会话ID漏洞
Slashcode是一个流行的Web讨论板系统。用户可以注册一个账户并且登录到系统来发贴子或者回复别人的贴子。用户认证是通过一个在Cookie中的会话ID来实现的。
对于一个新创建的用户,Slashcode系统初始分配一个随机的8个字符的口令。如果用户没有更改这个初始口令,那么分配给他的那个会话ID通过暴力猜解可以被得到,这可能会导致Slashcode系统上的一个会话被劫持。
RedHat Linux IPTables 保存选项无法恢复规则漏洞
Red Hat Linux 是免费,开放源代码的UNIX操作系统的变种,是由Red Hat 公司发布和维护的。该系统的防火墙存在一个安全问题,可能导致管理员在不知情的情况下将系统暴露在危险之中。
这是由于“-c”选项创建了一个iptables无读权限的文件,当系统重新启动,iptables试图加载这个文件时会失败,这样该系统就会失去保护。
Microsoft IE Cookie 信息泄露/修改漏洞
Microsoft Internet Explorer 存在一个安全漏洞,通过精心构造一个URL请求,可能显示或修改任意站点的Cookie内容。
这是由于IE错误处理跨域的Cookie以及“about”协议存在的跨站脚本执行漏洞造成的。
Apache mod_usertrack ID 可预测漏洞
Apache 是一款广泛流行,开放源代码的HTTP Server,其发布中包含一个“mod_usertrack”模块,用来为单独的Web会话和请求产生唯一的标适符。该模块存在
一个安全问题,可能允许攻击者预测session ID。
这是由于该模块使用了客户IP地址,系统时间和服务器进程ID来计算session ID的,因此该session ID不是随机的,是可预测的。
Solaris PT_CHMOD 任意终端可写漏洞
Solaris 8 是一个可自由获得的UNIX操作系统,由Sun微系统公司维护。
它的终端控制存在一个问题,当用户释放一个终端的时候,它的一个终端控制表项没有被清除,之后被分配给了新用户。从而使用户向其他终端写数据成为可能。
IBM CCA 3DES 生成导出密钥脆弱性
IBM 4758 是一种用来支持 IBM Common Cryptographic Architecture (CCA 普通加密架构) 的加密协处理器。这一般被银行使用,用来对ATM和支持行之间的通讯进行加密,这些加密通常使用3DES算法和一个密钥。CCA库包含一个功能,允许一些3DES密钥被导出,如果它们是被一个另外的3DES导出密钥加密的话。CCA的一个设计缺陷可以使一个有产生3DES导出密钥权限的用户生成这样一个密钥,这是通过先产生一个3DES复制密钥和一个单独的DES数据密钥实现的。而这两个密钥分别只提供一个层次的DES安全,攻击可以通过暴力猜测的方式分别得到这两个密钥,从而得到导出密钥。利用导出密钥,攻击可以导出一些允许被导出的3DES密钥。
很可能低版本的CCA也有这种脆弱性,对些漏洞的攻击需要不同的本地访问许可。
Imp/Horde Webmail系统可利用跨站攻击劫持会话漏洞
Imp/Horde Webmail系统存在跨站攻击漏洞,攻击者通过向被攻击者发送一个有特殊URL的信件,引诱被攻击者点击,Webmail会话被定向到攻击者控制的程序,程序可以用来获取此Webmail会话的Cookie,利用Cookie中的内容就可以劫持会话,阅读被攻击者的邮件。
Microsoft Windows 2000 RunAs 用户敏感信息泄露漏洞
Windows 2000 的RunAs服务允许一个用户以其它用户的身份执行命令,该服务存在一个安全问题,可能导致用户敏感信息泄露。
当用户使用RunAs命令执行命令时,该用户必须提供要运行命令的用户帐号和密码,当RunAs程序结束后,用户的这些敏感信息还存储在内存中,因此这些敏感信息可能会被其它进程所获取。
CDE dtspcd 远程缓冲区溢出漏洞
CDE是一个Unix系统下使用的基于Motif的图形操作环境。它与一些商业Unix系统一起发布。一个CDE的组件存在缓冲区溢出漏洞,攻击者可以远程获得受影响主机的管理员权限。
这个溢出问题存在于libDtSvc库,它被'子进程控制服务'所使用。这个溢出漏洞可以通过'dtspcd'服务被利用,
'dtspcd'是一个监听于TCP 6112端口的服务器程序。
Microsoft Windows 2000 RunAs 命名管道劫持漏洞
Windows 2000 的RunAs服务允许一个用户以其它用户的身份执行命令,该服务存在一个安全问题,可能导致用户命名管道被劫持。
当RunAs服务被调用时,会创建一个命名管道用于客户端提交证书(即帐号密码信息),该命名管道是明文通信的。当RunAs服务结束之后,如果另一个用户试图使用
RunAs服务时,攻击者就可以创建一个同名的命名管道。
Microsoft Windows 2000 RunAs 拒绝服务漏洞
Windows 2000 的RunAs服务允许一个用户以其它用户的身份执行命令,该服务存在一个安全问题,可能导致拒绝服务。
当RunAs服务被调用时,会与指定的服务器创建一个命名管道会话用于进行认证,由于RunAs服务在同一时刻只允许建立一个会话,如果一个用户创建了一个这样的会话却不请求任何服务,那么其它的客户端将无法使用该服务。
ActivePerl PerlIS.dll 远程缓冲区溢出漏洞
NSFOCUS安全小组发现ActivePerl所带的一个动态链接库(perlIS.dll)在处理超长文件名时存在一个缓冲区溢出漏洞,攻击者可能利用这个漏洞远程执行任意代码。
ActivePerl 是ActiveState公司开发的一套二进制perl软件包,可应用于Linux,Solaris,Windows系统下。ActivePerl for windows包含一个名为perlIS.dll的动态链接库文件,它是一个ISAPI扩展,为微软IIS服务器提供了一个高性能的perl接口。
PerlIS可以对用户发送的perl脚本请求进行处理,然而,它没有正确检查用户提交的URL请求的长度。如果用户发送一个超长的URL请求,PerlIS会调用strcpy()将其拷贝到一个堆栈中的缓冲区里,这会触发一个缓冲区溢出。攻击者可以覆盖堆栈中的一些敏感数据,例如返回地址等等,如果精心构造URL请求的内容,攻击者就可以远程执行任意代码。
成功地利用这个漏洞,在IIS 5.0中,攻击者可以获取IWAM_machinename用户的权限. 在IIS 4.0中,攻击者可以获取Local SYSTEM权限。
thttpd 和 mini_http 权限绕过漏洞
Thttpd Secure Webserver 和Mini_httpd Webserver 存在一个安全问题,可能导致权限被绕过,从而不经授权即可访问某些受保护的资源。
问题出在httpd进程对文件请求的处理方式。如果一个文件是权限为403,或者处于一个密码保护的目录中,那我们就可能远程查看这些文件的内容。该漏洞只在chroot选项打开的情况下,并且影响Mini_httpd Webserver 的所有版本。
如果使用htaccess保护目录,只要我们知道文件名,就可能访问到这些受保护的文件。
如果使用htpasswd文件的话,通过发送一个特殊的请求,我们也可能浏览这些文件的内容。
Opera Java脚本跨站执行漏洞
Opera是一个跨平台的Web浏览器。它的Javascript实现中存在几个漏洞,允许位于一个html页面中的Java脚本访问到其他域中的页面和相关的实体(比如Cookie)。Netscape称这个问题为“同源漏洞”。
利用这些漏洞,在一个Web页面中的Java脚本访问到任意其他域中用户有权限访问的Cookie和URL是完全可
能的,甚至访问到用户缓存中的链接和历史记录,这将对隐私构成威胁。在某些情况下,缓存中的URL历史
记录可能包括一些敏感信息,比如用户名和口令等。
微软Win2k/XP终端服务IP欺骗漏洞
Win2k/XP 的终端服务器存在一个安全问题,允许远程攻击者匿名访问该服务。
这是由于Win2k/XP 的终端服务器不是从TCP栈中取客户端的IP地址,而是接受客户端提供的IP地址,该IP地址是通过基于ITU T.120 协议的Remote Desktop Protocol 传输的。如果某个客户端位于路由器的后面,并且只有内部IP地址,如果该客户端与远程终端服务器建立连接的话,那么远程的终端服务器就会记录该客户端的内部IP地址,而该地址是没有什么意义的。
Postfix SMTP会话日志内存耗尽漏洞
Postfix SMTP Server 用来维护SMTP的会话记录,用于以后的调试目的。我们可以配置当SMTP会话错误终止之后是否发送错误信息给管理员。但是该软件存在一个安全问题,可能导致内存耗尽攻击。
这是由于没有考虑到错误日志可能会特别大造成的。
Cisco IOS ARP表重写漏洞
一些特定版本的Cisco IOS软件存在漏洞,通过向运行着那些IOS软件的Cisco路由器或交换机的有广播能力的接口(如ethernet, cable, tokenring, fddi)发送特别的ARP包,可以使那些设备在那些接口上停止接收和发送ARP包。这个漏洞的问题在于当一个路由器收到一个指向它自
身某个接口IP地址的ARP包,而IP对应的Mac地址为另一个与自身缓存里不同的Mac地址时,路由器中的相关ARP表中的表项将被收到的内容重写。
这种攻击只能在攻击者与被攻击的设备处于同一个网段内才能实现。这个漏洞的Cisco漏洞ID为CSCdu81936。
||||||PHPNuke Network Tool任意命令执行漏洞
Network Tool是一个由Rick Fournier编写和维护的PHPNuke功能扩充附件,它可以通过一个Web
界面提供一些诸如nmap,traceroute及ping等的网络功能。
这个软件包对用户的输入中那些有特殊意义的元字符的过滤存在问题,使攻击者通过构造一个特殊的输入在服务器上以httpd的身份执行任意命令成为可能。
OpenServer 5.0.5 Nmap "-P0"扫描终止inetd漏洞
OpenServer 5.0.5 的“/etc/inetd”存在安全问题,如果你运行Nmap时打开了“-P0”选项来对其进行端口扫描的话,可能导致inetd进程意外终止。
UBB 跨站脚本执行漏洞
Infopop Ultimate Bulletin Board 存在一个安全问题,可能允许远程攻击者利用IE的漏洞获取其它用户的ookie。
Microsoft IE Cookie 泄露漏洞
Internet Explorer对主机名字的处理存在问题,通过一些有特殊格式的主机名字,一个恶意的网站可以读取或者修改用户机器上其他网站所设置的Cookie。
如果这个漏洞被成功地利用,一些Cookie中储存的敏感信息如:session ID,认证信息将会泄露。这将有助于进一步攻击相关的用户和网站。
OPIE 帐号存在信息泄露漏洞
OPIE是一个使用一次性口令进行远程认证的软件包。用户使用一系列预生成的口令进行认证,在认证开始的时候,系统会提示当前的口令序列号。对任何需要登录验证的系统来说,一个标准的预防措施是无论口令和用户是否存在或合法,应该给出相同的提示或错误信息。
然而OPIE在对一个不存在的用户打印提示信息的时候随机地选择一个序列号,这样一来,多次连接要求登录相同的不存在的用户名时,每次所提示的序列号是不同的。而对存在的用户名来说,只要登录没有成功,每次提示要求输入口令时,所打印出来的口令序列号是相同的。
这样就能使攻击者有效地判断出系统中是不是存在相应的帐号。
Cistron RADIUS 摘要算法缓冲区溢出漏洞
Cistron是一种流行的RADIUS认证服务器实现。它在一个计算消息摘要的函数中存在一个缓冲区溢出问题。虽然据信这个漏洞不能被用来执行任意指令,但它可能会导致段错误,从而使服务器程序崩溃,造成远程拒绝服务攻击。其他基于Cistron源程序的服务器程序也可能有此漏洞。
ACME Labs thttpd 2.20远程单字节缓冲区溢出漏洞
thttpd是运行于Unix-like操作系统上的一个简单,小巧,快速的Web服务器程序。
thttpd用于进行Web认证的程序模块存在一个单字节缓冲区溢出问题,可以使攻击者从远程得到Web服务器的shell访问权限。
出现漏洞的程序代码为:libhttpd.c/auth_check()
static int
auth_check( httpd_conn* hc, char* dirname )
{
static char* authpath;
static int maxauthpath = 0;
struct stat sb;
char authinfo[500];
char* authpass;
[...]
l = b64_decode( &(hc->authorization[6]), authinfo, sizeof(authinfo) );
authinfo[l] = '\0';
可以注意到authinfo缓冲区长度为500,用来储存由b64_decode从HTTP 'Authorization'头中解码出来的认证信息串,用NULL来结束这个串。函数中在authinfo变量之上的自动变量只有结构sb,其他变量会根据初始化被放在data或bss段中。变量l存放b64_decode的返回值,
它可能会是多大呢,看b64_decode函数:
static int
b64_decode( const char* str, unsigned char* space, int size )
{
const char* cp;
int space_idx, phase;
int d, prev_d = 0;
unsigned char c;
space_idx = 0;
phase = 0;
for ( cp = str; *cp != '\0'; ++cp )
{
d = b64_decode_table[(int) *cp];
if ( d != -1 )
{
switch ( phase )
{
case 0:
++phase;
break;
case 1:
c = ( ( prev_d << 2 ) | ( ( d & 0x30 ) >> 4 ) );
if ( space_idx < size )
space[space_idx++] = c;
++phase;
break;
case 2:
c = ( ( ( prev_d & 0xf ) << 4 ) | ( ( d & 0x3c ) >> 2 ) );
if ( space_idx < size )
space[space_idx++] = c;
++phase;
break;
case 3:
c = ( ( ( prev_d & 0x03 ) << 6 ) | d );
if ( space_idx < size )
space[space_idx++] = c;
phase = 0;
break;
}
prev_d = d;
}
}
return space_idx;
}
这里'size'来自sizeof(authinfo) == 500,“if ( space_idx < size )”这个检查
只能使space_idx最大到499,“space[space_idx++] = c;”使space_idx的值到了500,然
后space_idx的值被返回给auth_check。再看回来:
l = b64_decode( &(hc->authorization[6]), authinfo, sizeof(authinfo) );
authinfo[l] = '\0';
'l' == 500,所以“authinfo[500] = '\0'”把缓冲区溢出了一个字节!
Hypermail SSI 远程任意命令执行漏洞
Hypermail是一款把Email转化为HTML格式的软件,由Hypermail Development开发和维护。
Hypermail存在一个安全问题,可能允许攻击者在目标服务器上创建任意文件,进而导致执行任意命令。
这是由于Email附件在被处理之前,没有做任何处理,因此通过发送一封含有特殊附件的邮件,可以在目标服务器上创建该文件,通过调用该文件就可能导致执行任意命令。
Sendmail 队列处理数据丢失/拒绝服务漏洞
Sendmail是一种免费,广泛使用的邮件传输代理,由Sendmail Consortium维护。
Sendmail存在一个安全问题,可能导致信件丢失或拒绝服务。
Sendmail允许合法用户强制处理整个邮件队列。当运行sendmail时,用户可以改变主要的配置,例如设置邮件的跳跃点,使其大于sendmail规定的上限,这样就可能导致队列
中的邮件丢失。
Citrix MetaFrame接受虚假IP地址漏洞
Citrix MetaFrame是终端服务环境下的一个应用服务器程序。
Citrix MetaFrame存在一个问题,用户可以使之记录一个虚假的IP地址。
当一个客户机连接的时候,客户机的名字和网络地址作为ICA协议的一部分被传送给服务器。而服务器记录的就是这些客户机提供过来的信息,而不是从操作系统的TCP/IP实现中得到客户机的网络地址。
