Michael Krax log2mail写LOG文件格式串漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201623 漏洞类型 未知
发布时间 2004-06-03 更新时间 2005-10-20
CVE编号 CVE-2004-0450 CNNVD-ID CNNVD-200408-052
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200408-052
|漏洞详情
log2mail是一款用于监视日志文件,能通过邮件发送日志与模型匹配的工具。MichaelKraxlog2mail写日志文件存在格式串问题,远程攻击者可以利用这个漏洞以'log2mail'用户进程权权限在系统上执行任意指令。用户可以提供特殊消息到log2mail监视的日志文件,当log2mail进行解析转换时可发生格式串问题,默认情况下,进程以'adm'组的'log2mail'用户权限运行,精心构建提交数据可能以'adm'权限执行任意指令。
|参考资料

来源:BID
名称:10460
链接:http://www.securityfocus.com/bid/10460
来源:DEBIAN
名称:DSA-513
链接:http://www.debian.org/security/2004/dsa-513
来源:XF
名称:log2mail-syslog-format-string(16311)
链接:http://xforce.iss.net/xforce/xfdb/16311
来源:SECUNIA
名称:11769
链接:http://secunia.com/advisories/11769
来源:SECUNIA
名称:11768
链接:http://secunia.com/advisories/11768
来源:OSVDB
名称:6711
链接:http://osvdb.org/6711
来源:felinemenace.org
链接:http://felinemenace.org/~jaguar/advisories/log2mail.txt