低危 libproxy 至 0.4.8 url.cpp url::get_pac 内存破坏漏洞

CVE编号

CVE-2012-4504

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-11-12
漏洞描述
libproxy是一款用于提供自动代理配置管理的库。用于下载proxy.pac代理自动配置文件的url::get_pac()函数,在使用用户提供的内存长度值分配proxy.pac文件内容缓冲区时存在一个基于栈的缓冲区溢出。可提供proxy.pac的恶意主机或可进行中间人攻击的攻击者可利用此缺陷触发漏洞,可能以应用程序上下文执行任意代码。
解决建议
libproxy 0.4.x已经修复此漏洞,建议用户下载使用:http://code.google.com/p/libproxy
参考链接
http://code.google.com/p/libproxy/source/detail?r=853
http://lists.opensuse.org/opensuse-updates/2012-10/msg00065.html
http://secunia.com/advisories/51048
http://www.openwall.com/lists/oss-security/2012/10/12/1
http://www.openwall.com/lists/oss-security/2012/10/12/5
http://www.openwall.com/lists/oss-security/2012/10/16/3
http://www.securityfocus.com/bid/55909
http://www.ubuntu.com/usn/USN-1629-1
https://bugzilla.redhat.com/show_bug.cgi?id=864417
https://exchange.xforce.ibmcloud.com/vulnerabilities/79249
https://groups.google.com/forum/?fromgroups=#%21topic/libproxy/VxZ8No7mT0E
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 libproxy_project libproxy 0.4.0 -
运行在以下环境
应用 libproxy_project libproxy 0.4.1 -
运行在以下环境
应用 libproxy_project libproxy 0.4.2 -
运行在以下环境
应用 libproxy_project libproxy 0.4.3 -
运行在以下环境
应用 libproxy_project libproxy 0.4.5 -
运行在以下环境
应用 libproxy_project libproxy 0.4.6 -
运行在以下环境
应用 libproxy_project libproxy 0.4.7 -
运行在以下环境
应用 libproxy_project libproxy 0.4.8 -
运行在以下环境
系统 debian_10 libproxy * Up to
(excluding)
0.4.15-5+deb10u1
运行在以下环境
系统 debian_11 libproxy * Up to
(excluding)
0.4.17-1
运行在以下环境
系统 debian_12 libproxy * Up to
(excluding)
0.4.18-1.2
运行在以下环境
系统 suse_12 libproxy1-networkmanager-32bit * Up to
(excluding)
0.4.11-11
运行在以下环境
系统 ubuntu_12.04.5_lts libproxy * Up to
(excluding)
0.4.7-0ubuntu4.1
阿里云评分
3.6
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-119 内存缓冲区边界内操作的限制不恰当
阿里云安全产品覆盖情况