低危 INN STARTTLS实现命令注入漏洞

CVE编号

CVE-2012-3523

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-11-12

漏洞描述

InterNetNews一款网络新闻系统服务程序，可使用在多种Linux、Unix系统下。InterNetNews STARTTLS实现不正确限制I/O缓冲，允许可进行中间人的攻击者在明文协议阶段注入命令，并在密文协议阶段过程中执行。此漏洞类似CVE-2011-0411漏洞。

解决建议

INN 2.5.3版本已经修复此漏洞，建议用户下载使用：ttps://www.isc.org/software/inn/2.5.3article

参考链接
http://lists.opensuse.org/opensuse-updates/2012-09/msg00058.html
http://secunia.com/advisories/50661
http://www.mandriva.com/security/advisories?name=MDVSA-2012:156

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	isc	inn	*		Up to (including) 2.5.2
	运行在以下环境
	应用	isc	inn	1.4	-
	运行在以下环境
	应用	isc	inn	1.4sec	-
	运行在以下环境
	应用	isc	inn	1.4sec2	-
	运行在以下环境
	应用	isc	inn	1.4unoff3	-
	运行在以下环境
	应用	isc	inn	1.4unoff4	-
	运行在以下环境
	应用	isc	inn	1.5	-
	运行在以下环境
	应用	isc	inn	1.5.1	-
	运行在以下环境
	应用	isc	inn	1.7	-
	运行在以下环境
	应用	isc	inn	1.7.2	-
	运行在以下环境
	应用	isc	inn	2.0	-
	运行在以下环境
	应用	isc	inn	2.1	-
	运行在以下环境
	应用	isc	inn	2.2	-
	运行在以下环境
	应用	isc	inn	2.2.1	-
	运行在以下环境
	应用	isc	inn	2.2.2	-
	运行在以下环境
	应用	isc	inn	2.2.3	-
	运行在以下环境
	应用	isc	inn	2.4.0	-
	运行在以下环境
	系统	debian_10	inn	*		Up to (excluding) 1.7.2q-46
	运行在以下环境
	系统	debian_11	inn	*		Up to (excluding) 1.7.2q-46
	运行在以下环境
	系统	debian_12	inn	*		Up to (excluding) 1.7.2q-47
	运行在以下环境
	系统	debian_sid	inn	*		Up to (excluding) 1.7.2q-48
	运行在以下环境
	系统	suse_11	inn	*		Up to (excluding) 2.4.2-170.21.3
	运行在以下环境
	系统	ubuntu_14.04.6_lts	inn2	*		Up to (excluding) 2.5.3-1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	inn2	*		Up to (excluding) 2.5.3-1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	inn2	*		Up to (excluding) 2.5.3-1
	运行在以下环境
	系统	ubuntu_18.10	inn2	*		Up to (excluding) 2.5.3-1

阿里云评分 3.3

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 传输被破坏
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

Exp相关链接

- avd.aliyun.com