kpopup本地参数格式串处理漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1202378 漏洞类型 输入验证
发布时间 2003-10-28 更新时间 2005-10-20
CVE编号 CVE-2003-1170 CNNVD-ID CNNVD-200312-476
漏洞平台 N/A CVSS评分 7.2
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-476
|漏洞详情
Kpopup是一款KDE程序,用于发送和接收MSWindowsWinPopup消息的程序。Kpopup程序不正确处理用户提交的参数,本地攻击者可以利用这个漏洞进行格式串攻击,可能以root用户权限在系统上执行任意指令。格式串问题存在于main.cpp源代码56到60行中的sprintf()函数中,攻击者提交格式字符串作为参数,可导致内存破坏而崩溃,精心构建提交数据可能以root用户权限在系统上执行任意指令。
|参考资料

来源:BUGTRAQ
名称:20031028Localrootvulninkpopup
链接:http://www.securityfocus.com/archive/1/342736
来源:SECUNIA
名称:10105
链接:http://secunia.com/advisories/10105
来源:BID
名称:8918
链接:http://www.securityfocus.com/bid/8918
来源:OSVDB
名称:3290
链接:http://www.osvdb.org/3290
来源:NSFOCUS
名称:5601
链接:http://www.nsfocus.net/vulndb/5601