中危 cscope 缓冲区溢出拒绝服务代码执行漏洞

CVE编号

CVE-2006-4262

利用情况

暂无

补丁情况

没有补丁

披露时间

2006-08-23

漏洞描述

多个缓冲区溢出在cscope15.5和更早允许用户辅助攻击者导致拒绝服务（崩溃），并可能通过多个向量执行任意代码，包括（1）在文件列表解析期间未正确处理的长路径名，（2）由路径变量扩展引起的长路径名，如HOME环境变量的tilde扩展，以及（3）长f（又称reffile）命令行参数。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://secunia.com/advisories/21601
http://secunia.com/advisories/22239
http://secunia.com/advisories/22515
http://security.gentoo.org/glsa/glsa-200610-08.xml
http://sourceforge.net/mailarchive/forum.php?thread_id=30266760&forum_id=33500
http://sourceforge.net/mailarchive/forum.php?thread_id=30266761&forum_id=33500
http://www.debian.org/security/2006/dsa-1186
http://www.osvdb.org/28135
http://www.osvdb.org/28136
http://www.redhat.com/support/errata/RHSA-2009-1101.html
http://www.securityfocus.com/bid/19686
http://www.securityfocus.com/bid/19687
http://www.vupen.com/english/advisories/2006/3374
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=203645
https://exchange.xforce.ibmcloud.com/vulnerabilities/28545
https://exchange.xforce.ibmcloud.com/vulnerabilities/28546
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cscope	cscope	*		Up to (including) 15.5
	运行在以下环境
	系统	debian_10	cscope	*		Up to (excluding) 15.5+cvs20060902-1
	运行在以下环境
	系统	debian_11	cscope	*		Up to (excluding) 15.5+cvs20060902-1
	运行在以下环境
	系统	debian_12	cscope	*		Up to (excluding) 15.5+cvs20060902-1
	运行在以下环境
	系统	debian_3.1	cscope	*		Up to (excluding) 15.5-1.1sarge2
	运行在以下环境
	系统	debian_sid	cscope	*		Up to (excluding) 15.5+cvs20060902-1

阿里云评分 5.4

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 没有补丁
• 数据保密性 数据泄露
• 数据完整性 传输被破坏
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当

Exp相关链接

- avd.aliyun.com