2006-10-8 11:00:37
发布日期:2006-10-05
更新日期:2006-10-08
受影响系统:
Computer Associates BrightStor ARCserve Backup 11.5
描述:
BUGTRAQ ID: 20364
CVE(CAN) ID: CVE-2006-5142
BrightStor ARCserve Backup可为各种平台的服务器提供备份和恢复保护功能。
BrightStor ARCserve Backup的Discovery服务(casdscsvc.exe)在处理TCP/41523端口上所接收到的请求时存在栈溢出漏洞,远程攻击者可能利用此漏洞在服务器上执行任意指令。
当该服务在处理通过名为CheyenneDS的邮槽所接收到的超长消息时,由于在调用CreateMailslot过程中没有提供明确的MaxMessageSize,攻击者可以触发可利用的栈溢出。
创建邮槽过程如下:
casdscsvc.exe -> Asbrdcst.dll
20C14E8C push 0 ; lpSecurityAttributes
20C14E8E push 0 ; lReadTimeout
20C14E90 push 0 ; nMaxMessageSize
20C14E92 push offset Name ; "\\\\.\\mailslot\\CheyenneDS"
20C14E97 stosb
20C14E98 call ds:CreateMailslotA
20C14E9E cmp eax, INVALID_HANDLE_VALUE
20C14EA1 mov mailslot_handle, eax
请注意没有指定明确的MaxMessageSize。之后从4k的缓冲区读取了邮槽句柄,并且将所读取的数据传送给了使用1k大小缓冲区的vsprintf调用。
casdscsvc.exe -> Asbrdcst.dll
20C15024 mov eax, mailslot_handle
20C15029 lea edx, [esp+1044h+Buffer_4k]
20C1502D push ecx ; nNumberOfBytesToRead
20C1502E push edx ; lpBuffer
20C1502F push eax ; hFile
20C15030 call edi ; ReadFile
20C15032 test eax, eax
20C15034 jz short read_failed
20C15036 lea ecx, [esp+3Dh]
20C1503A push ecx ; char
20C1503B push offset str_ReadmailslotS ; "ReadMailSlot: %s\n"
20C15040 call not_interesting_call_to_vsnprtinf
20C15045 add esp, 8
20C15048 lea edx, [esp+3Dh]
20C1504C push edx ; va_list
20C1504D push offset str_ReadmailslotS_0 ; "ReadMailSlot: %s"
20C15052 push 0 ; for_debug_log
20C15054 call vsprintf_into_1024_stack_buf_and_debug_log
<*来源:livesploit.com (http://www.livesploit.com/)
Pedram Amini
链接:http://secunia.com/advisories/22283/
http://supportconnectw.ca.com/public/storage/infodocs/basbr-secnotice.asp
http://marc.theaimsgroup.com/?l=bugtraq&m=116015088813051&w=2
http://www.lssec.com/advisories/LS-20060220.pdf
http://www.tippingpoint.com/security/advisories/TSRT-06-12.html
*>
建议:
厂商补丁:
Computer Associates
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://supportconnect.ca.com/
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)