Новые уязвимости (http://www.guninski.com/where_do_you_want_billg_to_go_today_...) могут быть использованы только на 64-битных платформах с объемом виртуальной памяти более 4Гб.Описание проблем с uinc.ru (http://www.uinc.ru/news/show.php?id=3712):
- Первая уязвимость (http://www.securityfocus.com/bid/13528) связана с целочисленным переполнением в функции stralloc_readyplus(). Удаленный пользователь может подключиться к SMTP службе и послать большое количество данных, что приведет к аварийному завершению работы службы.
- Вторая проблема (http://www.securityfocus.com/bid/13535) связана с возможностью переполнения буфера в SMTP-службе при обработке параметров команды HELO. Удаленный пользователь может вызвать отказ в обслуживании сервиса. Уязвимость существует в файле 'commands.c'.
- Третья уязвимость (http://www.securityfocus.com/bid/13536) связана с возможностью переполнения буфера в файле 'qmail_put/substdio_put'. Удаленный пользователь может с помощью специально сформированной команды RCPT TO вызвать отказ в обслуживании приложения
Для всех трех уязвимостей не отрицается возможность запуска кода злоумышленника на удаленной системе.
URL: http://www.guninski.com/where_do_you_want_billg_to_go_today_...
Новость: https://www.opennet.ru/opennews/art.shtml?num=5442