受影响系统:
Polipo Polipo 1.0.4
Polipo Polipo 0.9.8
Polipo Polipo 0.9.12
描述:
Polipo是一个小型的代理服务器软件。
Polipo的client.c文件中的httpClientDiscardBody()函数中存在符号错误,远程攻击者可以通过提交带有超长Content-Length头的HTTP请求导致服务崩溃;此外http_parse.c的httpParseHeaders()函数没有正确地解析某些Cache-Control头,发送畸形的HTTP请求也可能导致拒绝服务。
<*来源:Raphael Geissert (atomo64@gmail.com)
Stefan Fritsch (sf@sfritsch.de)
链接:http://secunia.com/advisories/37607/
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=547047
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=560779
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.exploit-db.com/download/10338
建议:
厂商补丁:
Polipo
——
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
0 条评论。