Network UPS Tools (NUT) 'addchar()'函数缓冲区溢出漏洞

admin

0
文章

0
评论

2023-12-08 10:55:58 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Network UPS Tools (NUT) 'addchar()'函数缓冲区溢出漏洞

CVE编号

CVE-2012-2944

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-06-02

漏洞描述

Network UPS Tools (简称NUT)是一个灵活的C/S模式的UPS监控工具。Network UPS Tools接收到网络中随机数据时存在安全问题，允许攻击者利用漏洞使应用程序崩溃。问题存在于解析网络中的某些字符过程中，在进行字符串操作时(如strlen)没有计算非打印字符，但仍旧把其拷贝到缓冲区中，可触发溢出。

解决建议

厂商目前已经发布了升级补丁以修复此安全问题，补丁获取链接为：http://trac.networkupstools.org/projects/nut/browser/trunk/common/parseconf.c?rev=3633

参考链接
http://alioth.debian.org/tracker/?func=detail&aid=313636
http://networkupstools.org/docs/user-manual.chunked/apis01.html
http://secunia.com/advisories/49348
http://secunia.com/advisories/50389
http://trac.networkupstools.org/projects/nut/changeset/3633
http://www.debian.org/security/2012/dsa-2484
http://www.mandriva.com/security/advisories?name=MDVSA-2012:087
http://www.osvdb.org/82409
http://www.securityfocus.com/bid/53743
https://exchange.xforce.ibmcloud.com/vulnerabilities/75980
https://hermes.opensuse.org/messages/15514634

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	networkupstools	nut	*		Up to (including) 2.6.3-3
	运行在以下环境
	应用	networkupstools	nut	2.4.2	-
	运行在以下环境
	应用	networkupstools	nut	2.4.3	-
	运行在以下环境
	应用	networkupstools	nut	2.6.0	-
	运行在以下环境
	应用	networkupstools	nut	2.6.0-1	-
	运行在以下环境
	应用	networkupstools	nut	2.6.1	-
	运行在以下环境
	应用	networkupstools	nut	2.6.1-1	-
	运行在以下环境
	应用	networkupstools	nut	2.6.3-1	-
	运行在以下环境
	系统	debian_10	nut	*		Up to (excluding) 2.6.4-1
	运行在以下环境
	系统	debian_11	nut	*		Up to (excluding) 2.6.4-1
	运行在以下环境
	系统	debian_12	nut	*		Up to (excluding) 2.6.4-1
	运行在以下环境
	系统	debian_6	nut	*		Up to (excluding) 2.4.3-1.1squeeze2
	运行在以下环境
	系统	debian_sid	nut	*		Up to (excluding) 2.6.4-1
	运行在以下环境
	系统	fedora_EPEL_5	nut-debuginfo	*		Up to (excluding) 2.2.2-3.el5
	运行在以下环境
	系统	fedora_EPEL_6	nut-debuginfo	*		Up to (excluding) 2.6.3-4.el6
	运行在以下环境
	系统	suse_12	libupsclient1	*		Up to (excluding) 2.7.1-4
	运行在以下环境
	系统	ubuntu_12.04.5_lts	nut	*		Up to (excluding) 2.6.3-1ubuntu1.1