Logsurfer — программа мониторинга текстовых журналов регистрации в реальном времени. В программе обнаружено 2 уязвимости — «off-by-one» переполнение буфера и плохая инициализация параметров. 

off-by-one переполнение обнаружено в функции context_action() в context.c. В зависимости от конфигурации уязвимость может привести к краху сервера и возможно к выполнению произвольного кода. 

Буфер, используемый для временного хранения конфигурации должным образом не инициализируется в функции readcfg(). В зависимости от содержания буфера, функция readline() неправильно предполагает, что в нем содержатся старые данные. В этом случае такие данные могут использоваться как часть конфигурации. 

Уязвимость обнаружена в logsurfer 1.5а.



Оставить мнение