CNNVD-ID编号 | CNNVD-200603-121 |
CVE编号 | CVE-2006-1078 |
发布时间 | 2006-03-08 |
更新时间 | 2006-08-03 |
漏洞类型 | 缓冲区溢出 |
漏洞来源 | Larry Cashdollar |
危险等级 | 高危 |
威胁类型 | 本地 |
厂 商 | acme_labs |
htpasswd中存在多个缓冲区溢出漏洞,当应用于Acme thttpd 2.25b(可能还有诸如Apache等其它产品)中时,本地用户可能通过以下途径获得特权:(1) 一个长的命令行参数和(2)文件中的一个长行。注意:由于htpasswd通常作为non-setuid程序安装,而这种钻漏洞是通过命令行来进行,或许该问题不应包含在CVE中。不过,如果有一些典型或推荐配置用到带sudo特权的htpasswd,或远程访问htpasswd的普通产品,那么它应该被包含其中。
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本.
来源: BID
名称: 16972
来源: BUGTRAQ
名称: 20060305 htpasswd bufferoverflow and command execution in thttpd-2.25b.
链接:http://www.securityfocus.com/archive/1/archive/1/426823/100/0/threaded
来源: MLIST
名称: [thttpd] 20060305 Re: htpasswd.c security issues
链接:http://marc.theaimsgroup.com/?l=thttpd&m=114154083000296&w=2
来源: MLIST
名称: [thttpd] 20060305 htpasswd.c security issues
链接:http://marc.theaimsgroup.com/?l=thttpd&m=114153031201867&w=2
来源: XF
名称: apache-htpasswd-strcpy-bo(31236)
来源: XF
名称: thttpd-command-file-bo(25216)
来源: FULLDISC
名称: 20041029 Apache 1.3.33 local buffer overflow in apache 1.3.31 not fixed in .33?
链接:http://www.security-express.com/archives/fulldisclosure/2004-10/1117.html
来源: BUGTRAQ
名称: 20041029 Re: local buffer overflow in htpasswd for apache 1.3.31 not fixed in .33?
来源: FULLDISC
名称: 20070102 Apache 1.3.37 htpasswd buffer overflow vulnerability
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2007-January/051562.html
来源: MISC
来源: MISC