ZNC znc-msvc 至 0.206 fish.cpp 内存破坏漏洞

CVE编号

CVE-2013-7049

利用情况

暂无

补丁情况

N/A

披露时间

2013-12-24
漏洞描述
ZNC是一款IRC代理。

ZNC IRC Bouncer Fish插件fish.cpp在初始化新查询时,程序在处理对方发送的公钥数据时没有进行正确的边界检查,可导致"raw_buf"缓冲区被溢出,可导致拒绝服务攻击。
解决建议
目前没有详细解决方案提供:
https://code.google.com/p/znc-msvc/source/browse/trunk/main/znc-msvc/modules/extra_win32/fish.cpp
参考链接
http://osvdb.org/100859
http://seclists.org/oss-sec/2013/q4/482
http://seclists.org/oss-sec/2013/q4/489
http://www.securityfocus.com/bid/64254
https://code.google.com/p/znc-msvc/
https://exchange.xforce.ibmcloud.com/vulnerabilities/89671
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 znc znc-msvc * Up to
(including)
0.206
运行在以下环境
应用 znc znc-msvc 0.076 -
运行在以下环境
应用 znc znc-msvc 0.077 -
运行在以下环境
应用 znc znc-msvc 0.078 -
运行在以下环境
应用 znc znc-msvc 0.079 -
运行在以下环境
应用 znc znc-msvc 0.080 -
运行在以下环境
应用 znc znc-msvc 0.089 -
运行在以下环境
应用 znc znc-msvc 0.090 -
运行在以下环境
应用 znc znc-msvc 0.093 -
运行在以下环境
应用 znc znc-msvc 0.094 -
运行在以下环境
应用 znc znc-msvc 0.095 -
运行在以下环境
应用 znc znc-msvc 0.097 -
运行在以下环境
应用 znc znc-msvc 0.098 -
运行在以下环境
应用 znc znc-msvc 0.202 -
CVSS3评分
4.3
  • 攻击路径
    网络
  • 攻击复杂度
    N/A
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
    需要
  • 可用性
    部分地
  • 保密性
  • 完整性
AV:N/AC:M/Au:N/C:N/I:N/A:P
CWE-ID 漏洞类型
CWE-119 内存缓冲区边界内操作的限制不恰当
阿里云安全产品覆盖情况