受影响系统:
Net-SNMP net-snmp 5.0.9
Net-SNMP net-snmp
描述:
BUGTRAQ ID: 35492
CVE(CAN) ID: CVE-2009-1887
Net-SNMP是一个免费的、开放源码的SNMP实现,以前称为UCD-SNMP。
如果远程攻击者向Net-SNMP的snmpd守护程序发送了特制的SNMP GetBulk请求,就可能在以下代码的运算中将0用作除数,导致snmpd崩溃:
if (maxbulk <= 0 || maxbulk > maxresponses / r)
maxbulk = maxresponses / r;
攻击者必须能够读访问SNMP服务器才可以利用这个漏洞。在默认的配置中,团体名称“public”允许只读访问。
<*来源:Tomas Hoger (thoger@redhat.com)
链接:https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=506903
https://www.redhat.com/support/errata/RHSA-2009-1124.html
*>
建议:
厂商补丁:
RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2009:1124-01)以及相应补丁:
RHSA-2009:1124-01:Moderate: net-snmp security update
链接:https://www.redhat.com/support/errata/RHSA-2009-1124.html
0 条评论。