检测

FreeBSD:libzrtpcpp -- 多种安全漏洞 (04320e7d-ea66-11e2-a96e-60a44c524f57)

high Nessus 插件 ID 67249

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Mark Dowd 报告:

漏洞 1。远程堆溢出:如果攻击者发送超过 1024 字节且临时存储的数据包(这种情况多次发生,如发送 ZRTP Hello 数据包时),将发生堆溢出,从而导致可能在有漏洞的主机上执行任意代码。

漏洞 2。多种堆栈溢出:ZRTPCPP 包含准备对客户端的 ZRTP Hello 数据包的响应时引发的多种堆栈溢出。

漏洞 3。信息泄漏/越界读取:相对实际收到的数据量,ZRTPCPP 库对预期收到的数据包大小执行的验证极少。这可同时导致信息泄漏和越界数据读取(通常造成崩溃)。例如,可通过发送畸形 ZRTP Ping 数据包造成信息泄漏。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?8362a20c

插件详情

严重性: High

ID: 67249

文件名: freebsd_pkg_04320e7dea6611e2a96e60a44c524f57.nasl

版本: 1.6

类型: local

发布时间: 2013/7/12

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.6

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:libzrtpcpp, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/7/11

漏洞发布日期: 2013/6/27

参考资料信息

CVE: CVE-2013-2221, CVE-2013-2222, CVE-2013-2223