漏洞起因
设计错误
危险等级
低
影响系统
GNU C Library (glibc) 2.x
不受影响系统
危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码。
攻击所需条件
攻击者必须上传恶意时区文件。
漏洞信息
GNU C库是一款按照LGPL许可协议发布的,公开源代码的C编译程序。
“__tzfile_read()”函数(time/tzfile.c)存在错误,攻击者构建特制的时区文件可触发基于堆的缓冲区溢出。
成功利用漏洞可以允许执行任意代码,但需要上传恶意时区文件,如上传到FTP服务器上的chroot环境中。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://www.gnu.org/software/libc/libc.html
漏洞提供者
dividead
0 条评论。