Neon LibNeon Non-Ascii Character URI Data uri_lookup函数拒绝服务漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1192185 漏洞类型 设计错误
发布时间 2007-01-12 更新时间 2007-01-29
CVE编号 CVE-2007-0157 CNNVD-ID CNNVD-200701-109
漏洞平台 N/A CVSS评分 7.8
|漏洞来源
https://www.securityfocus.com/bid/22035
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200701-109
|漏洞详情
64-bit平台上的neon0.26.0到0.26.2版本的URI解析器中的uri_lookup函数存在数组索引错误。远程恶意服务商可以借助一个带有非ASCII字符的URI,来引起拒绝服务攻击(崩溃)。由负指针生成的类别转换错误会触发一个缓冲区under-read。
|受影响的产品
S.u.S.E. openSUSE 10.2 Neon Client Library 0.26.2 Neon Client Library 0.26.1 Neon Client Library 0.26 Mandriva Linux Mandrake 2007.0 x86_64 Mandriva Linux Mandrake 2007.
|参考资料

来源:OSVDB
名称:39247
链接:http://osvdb.org/39247
来源:MLIST
名称:[neon]20070107invalidcharscausesigservinneon
链接:http://mailman.webdav.org/pipermail/neon/2007-January/002362.html
来源:bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=404723
来源:bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi/neon26_0.26.2-3_to_mdx1.diff?bug=404723;msg=5;att=2
来源:www.webdav.org
链接:http://www.webdav.org/cadaver/
来源:BID
名称:22035
链接:http://www.securityfocus.com/bid/22035
来源:SUSE
名称:SUSE-SR:2007:002
链接:http://www.novell.com/linux/security/advisories/2007_02_sr.html
来源:MANDRIVA
名称:MDKSA-2007:013
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2007:013
来源:VUPEN
名称:ADV-2007-0362
链接:http://www.frsirt.com/english/advisories/2007/0362
来源:VUPEN
名称:ADV-2007-0172
链接:http://www.frsirt.com/english/advisories/2007/0172
来源:SECUNIA
名称:23984
链接:http://secunia.com/advisories/23984
来源:SECUNIA
名称:23763
链接:http://secunia.com/advisories/23763
来源:SECUNIA
名称:23751
链接:http://secunia.com/advisories