Переполнение буфера обнаружено в GNU Whois клиенте. Web приложения, которые
вызывают whois, позволяют удаленному пользователю выполнить произвольный
код. Воздействие зависит от того, как приложение вызывает или интегрирует
Whois клиента. Посылая специально обработанное значение для имени хоста, когда вызывается
whois с '-g' параметром командной строки, локальный или удаленный
пользователь может вызвать переполнение буфера: 

astharot@astharot <mailto:astharot@astharot> astharot $ whois -g `perl -e
"print 'a'x2000"` 

Когда whois использует отдельное приложение, переполнение буфера позволяет
локальному пользователю выполнить произвольный код с привилегиями локального
пользователя (что само по себе не является уязвимостью защиты). Однако,
некоторые Web приложения, использующие whois, могут позволить удаленному
пользователю выполнить произвольный код с привилегиями Web сервера. 

Уязвимость обнаружена в GNU Whois 4.6.6.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии