Acme Labs thttpd HTPasswd多个缓冲区溢出漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1195823 漏洞类型 缓冲区溢出
发布时间 2006-03-08 更新时间 2006-08-03
CVE编号 CVE-2006-1078 CNNVD-ID CNNVD-200603-121
漏洞平台 N/A CVSS评分 7.2
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200603-121
|漏洞详情
htpasswd中存在多个缓冲区溢出漏洞,当应用于Acmethttpd2.25b(可能还有诸如Apache等其它产品)中时,本地用户可能通过以下途径获得特权:(1)一个长的命令行参数和(2)文件中的一个长行。注意:由于htpasswd通常作为non-setuid程序安装,而这种钻漏洞是通过命令行来进行,或许该问题不应包含在CVE中。不过,如果有一些典型或推荐配置用到带sudo特权的htpasswd,或远程访问htpasswd的普通产品,那么它应该被包含其中。
|参考资料

来源:BID
名称:16972
链接:http://www.securityfocus.com/bid/16972
来源:BUGTRAQ
名称:20060305htpasswdbufferoverflowandcommandexecutioninthttpd-2.25b.
链接:http://www.securityfocus.com/archive/1/archive/1/426823/100/0/threaded
来源:MLIST
名称:[thttpd]20060305Re:htpasswd.csecurityissues
链接:http://marc.theaimsgroup.com/?l=thttpd&m=114154083000296&w=2
来源:MLIST
名称:[thttpd]20060305htpasswd.csecurityissues
链接:http://marc.theaimsgroup.com/?l=thttpd&m=114153031201867&w=2
来源:XF
名称:apache-htpasswd-strcpy-bo(31236)
链接:http://xforce.iss.net/xforce/xfdb/31236
来源:XF
名称:thttpd-command-file-bo(25216)
链接:http://xforce.iss.net/xforce/xfdb/25216
来源:FULLDISC
名称:20041029Apache1.3.33localbufferoverflowinapache1.3.31notfixedin.33?
链接:http://www.security-express.com/archives/fulldisclosure/2004-10/1117.html
来源:BUGTRAQ
名称:20041029Re:localbufferoverflowinhtpasswdforapache1.3.31notfixedin.33?
链接:http://seclists.org/bugtraq/2004/Oct/0359.html
来源:FULLDISC
名称:20070102Apache1.3.37htpasswdbufferoverflowvulnerability
链接:http://lists.gro