FreeBSD:libotr -- 緩衝區溢位 (c651c898-e90d-11e1-b230-0024e830109b)
medium Nessus Plugin ID 61589
語系:
概要
遠端 FreeBSD 主機缺少安全性相關更新。說明
OTR 開發人員報告:OTR 中的 otrl_base64_otr_decode() 函式和類似函式在遇到格式錯誤的輸入時會發生緩衝區溢位;
特別是指收到格式為「?OTR:===.」的訊息,並接著執行隨後 base64 解碼寫入之間無相似關聯的零位元配置,而使其可不正確地在堆積中寫入零和三之間的位元組,但此動作僅能使用「=」值。
由於此程式碼路徑的使用率高 (特別是指透過 pidgin 或類似用戶端接收即時訊息時),因此將此弱點視為嚴重,即使在多個平台和情況下,該錯誤也只會產生無法惡意利用的狀態,且只會導致拒絕服務。
OTR 的開發人員已迅速修正錯誤,建議 OTR 使用者在下次發行週期時升級軟體。
解決方案
更新受影響的套件。另請參閱
https://lists.cypherpunks.ca/pipermail/otr-dev/2012-July/001347.html
Plugin 詳細資訊
嚴重性: Medium
ID: 61589
檔案名稱: freebsd_pkg_c651c898e90d11e1b2300024e830109b.nasl
版本: 1.7
類型: local
已發布: 2012/8/20
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:libotr, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2012/8/18
弱點發布日期: 2012/7/27
參考資訊
CVE: CVE-2012-3461