XDR库有漏洞可影响Solaris Linux Mac OS X

/ns/ld/unix/data/20020812022057.htm



XDR库有漏洞可影响Solaris Linux Mac OS X
--------------------------------------------------------------------------------




����安全研究人员日前发现许多流行应用程序中的代码库存在一个严重安全缺陷,可使黑客在远程服务器上执行任意代码。
����
����此漏洞存在于Sun微系统公司SunRPC远程程序调用技术的“内部数据表示”(XDR)库。XDR库用来在不同结构的系统之间进行数据翻译。在Sun库的"xdr_array"函数中存在缓冲溢出,因此其他应用了此函数的应用程序的许多库都存在此问题。据CERT/CC周二公布的安全公告称,成功利用该漏洞可随着受影响系统的不同而有不同危害,但都能导致泄露敏感信息、远程执行任意代码的后果。
����
����其中受此漏洞影响的服务包括Kerberos 5管理平台,GNU C Library 2.2.5及其早期版本。Kerberos是一个网络认证协议,在许多代理服务中被广泛使用,同时包括Windows2000在内的许多应用程序都使用了此协议。
����
����据CERT/CC公告称,黑客利用Kerberos中的XDR缓冲溢出能控制该服务的关键分配中心(Key Distribution Center),从而能使用Kerberos信任域里的其他服务。
����
����微软公司表示,他们仍在测试此漏洞是否影响Windows 2000及其他产品。而Sun公司的Solaris操作系统从2.5.1到9版本都受影响,苹果公司的Mac OS X及Red Hat公司的Linux操作系统都存在此漏洞的威胁。大部分受影响的厂商都发布了补丁,用户可到其官方网站下载。



原作者: 金山毒霸
来 源: 金山毒霸