FreeBSD getnameinfo()存在拒绝服务漏洞发布时间:2000-11-04 更新时间:2000-10-04 严重程度:中 威胁程度:本地拒绝服务 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 FreeBSD FreeBSD 4.1.1-RELEASE详细描述 getnameinfo()函数是一个用来通过网络程序来解析地址的端口值的功能,其中在 BSD系统中的这个函数功能包含一个off-by-one漏洞可以导致远程拒绝服务攻击。如果恶意用户控制目标机器的DNS服务器,而服务如果通过使用getnameinfo()函数来 返回一超长主机名来响应一个查询的话,程序代用函数时就导致崩溃。 测试代码 尚无 解决方案 下载补丁程序: FreeBSD FreeBSD 4.0: FreeBSD patch 4.x: getnameinfo.patch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:63/getnameinfo.patch Download the patch, Execute the following commands as root: # cd /usr/src/lib/libc # patch -p < /path/to/patch_or_advisory # make depend && make all install 相关信息 |
