Sun 远程服务(SRS)网络连接软件本地格式串漏洞
来源:岁月联盟
时间:2007-11-09
Sun SRS Net Connect Software 3.2.4
Sun SRS Net Connect Software 3.2.3
描述:
BUGTRAQ ID: 26313
CVE(CAN) ID: CVE-2007-3880
Sun远程服务(SRS)网络连接是一种网上发布的系统管理服务的集合,用以帮助管理和优化IT环境。
Sun远程服务实现上存在漏洞,本地安全者可能利用此漏洞控制服务器。
在安装了SRS网络连接服务(srsexec)的Solaris系统上,用户提供的数据以格式串的形式直接传送给了syslog()函数,这允许安全者以任意数据覆盖内存,导致以root权限执行任意代码。
厂商补丁:
Sun已经为此发布了一个安全公告(Sun-Alert-103119)以及相应补丁:
Sun-Alert-103119:Security Vulnerability in the Sun Remote Services (SRS) Net Connect Software
链接:http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-103119-1
