61阅读

漏洞管理-Linux Kiss Server多个格式串处理漏洞

发布时间:2018-03-06 所属栏目:安全漏洞

一 : Linux Kiss Server多个格式串处理漏洞

受影响系统:
Tomas Brandysky Linux Kiss Server 1.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 28099

Linux Kiss Server是用于替换PC-LINK软件的服务程序,可运行为守护程序或在前台运行。

以前台模式运行的Linux Kiss Server的lks.c文件中的log_message()函数存在格式串处理漏洞,允许攻击者获得非授权访问。

以下为漏洞代码:

Function log_message():
if(background_mode == 0)
{
if(type == 'l')
fprintf(stdout,log_msg);

if(type == 'e')
fprintf(stderr,log_msg);
free(log_msg);
}


Function kiss_parse_cmd():


/* check full command name */
if (strncmp(cmd, buf, cmd_len))
{
asprintf(&log_msg,"unknow command: `%s'", buf);
log_message(log_msg,'e');
goto error;
}
buf = cmd_len;

因此如果在buf输入类似于%n%n%n的字符串的话,就可以触发这个漏洞。

<*来源:Vashnukad (vashnukad@vashnukad.com)

链接:http://secunia.com/advisories/29219/

*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Tomas Brandysky
---------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://freshmeat.net/projects/lks/

二 : 枪支管理漏洞,黑社会的精良装备

如果你是不爱权利金钱名利的人那么请远离政治;政治只是权利金钱名利的角逐战场;为你生为你死,不值得。

——文尚善若水

3月1号昆明发生的惨无人性对平民的屠杀是灭绝人性,反人类,反和平,反良知的政治角逐。施暴平民制造社会混乱,制造人心动荡,达到拥有权利金钱名利的目的。理论上可以肯定这样人善良中的败类,良知中的叛徒,和谐生活中的魔鬼,和平世界的地狱使者。

还生活安宁,还民众安康,还社会祥和!远离罪恶,孤立罪恶,举报罪恶,打击罪恶,伸张正义。

黑社会的成因必然是从一个人的厌世开始发展到权利金钱名利争夺。那份对金权的欲望渴求,迫使欲望的膨胀,膨胀的欲望滋生扭曲变异的人性价值观。从而物色大千世界中有着同样价值观的同类和利用那些对社会对生活迷茫的人加以驯化和洗脑,,达到驱使和奴役,贩卖的目的,不从者杀无赦,从而确定自己的存在与价值。过河拆桥,很多人明白这道理,可很多人不知不觉忘记这道理加入其中,有心的无心的成为其中的一员。

说道枪支,社会上很多很多。自制的土枪,走私的真家伙,专业加工的枪支弹药等。一般枪支为私藏品,知之胜少;还有一部分为工艺品被公开收藏,在公安备案后私人保管,枪支都是缺胳膊少腿,可又有多少人知道这样的枪支装上胳膊腿眨眼变成杀伤力巨大精良装备。一枪难寻,找一两个枪支配件对很多很多人来说并不是难事。涉枪事件中有多少案宗是以破枪工艺收藏品开罪销案的,能做到这点的绝不是凡夫俗子,也得感谢办案人员“良苦用心”和“通力合作”。( 文章阅读网:www.61k.com )

祝好人一生安宁康泰!

三 : 你网站的漏洞管理好了吗?

  不知道大家有没听说过破窗理论?你上百度百科搜索一下便可以找到两个相关词条,一个是破窗理论,另外一个是破窗户理论。这两个理论是相关,它们都是同一个现象的不同延伸解读。这篇博客所要讲到的是破窗户理论。

  破窗户理论是指环境具有非常强的暗示和诱导作用。如果建筑上的一块玻璃被人打坏了,但却又没有及时修复的话;那么,别人就可能受到某种暗示和纵容,以样学样。最终,会有更多的玻璃被打碎。在如此麻木的氛围中,犯罪就会孳生和蔓延。这就是破窗原理,也叫做暗示定律。王建硕之前分析他的客齐集(修补破窗和分类网站),就是使用了这个理论的。

  事实上,破窗原理并不少见,在几乎所有的网站,尤其是那些互动性比较强的网站上,都存在此原理。所谓网站的“破窗”,实际就是网站中那些与网站的宗旨、目的、氛围等不相符合的,设置有伤害的东西。

  举个例子,如果在一个常规的论坛中存在黄色图片以及骂人的帖子,或者一个点评网站上有虚假评论,分类网站上的虚假信息等等,这些都是“破窗”。

  破窗”对于一个网站的安全性的影响是很大的。然而,很多搞网站的人对于这一点却没。

  很久之前,我建设了一个农业网站,当时结识了一些做农业相关网站的站长。记得有一个站长,他为了提高网站访问量,就在论坛里边添加了一个“灌水版”,然后上传了大量美女图片,还有一些娱乐消息以及八卦新闻等。可想而知,如此手段带来的人气,必定是昙花一现,不会长久的。我们以前讲说,这个网站之所以不成功是因为他选择不正确的推广方式。但是,我们却没有认识到,这其实就是一个典型的网站破窗的例子。

  “破窗”,会给人这样一种感觉:你的某个地方破了可你却又不及时修补,就暗示着他可以对这个地方继续进行破坏,使其更破!

  比如说,有人在一个论坛里边,有人以开玩笑的方式开始说脏话了。这种情况下如果不加以阻止,那么就会引来跟多的人来模仿他,然后骂人。最后,演变为对人身进行恶意的攻击。

  诚然,我们上面举的是个典型的破窗例子,那样的破窗都很容易被大家注意到。但是,还有人们不容易引起重视的破窗。这种“破窗”,可用成语“南辕北辙”来解释它。也就是说,我们的目的地本来是朝南边的,但是我们却往北的方向走,最终只会越走越远,永远无法达到目标。 打个比方,你原本做的网站是电子商务这一块的,然而却常常在网站里讨论web2.0,这就是南辕北辙。在商务的网站上去讨论web2.0,就是一个“破窗”。

  但是呢,凡事都有例外。并不是所有破窗都是坏事。比如说MYSPACE,本来是乐队宣传、交流的平台,却有人通过它来交友。按道理讲,纯粹的交友对于一个早期的MYSPACE,应该是一个破窗。然而,让人出乎意料的是MYSPACE迅速转型。

  讲到这里相信大家对破窗应该有一定的了解了吧。对于破窗我们不能麻木,要做到发现一个及时修补一个,不能因为看到它短时的效益,而放任自流!

  本文由A5首发,转载请保留作者链接生理卫裤,英国卫裤 www.yblyid.com 谢谢各位站长的支持与配合。

四 : PageCookery爆安全漏洞 可获管理员帐号

相信很多站长都有自己的博客。

笔者在知道有PageCookery这款界面精美的微型博客时,当时就忍不住想试试。

一路安装完成后,突然发现重大漏洞!

因为此漏洞竟是如此弱智,任何知道此漏洞的人都能利用入侵!

为了安全问题,所以作者无法公开向各位公布此漏洞发生在哪。

只能发布刚入侵的几个使用PageCookery的博客用户,包括官方博客,并提醒修复。

希望看到此文章的朋友立刻访问PageCookery(http://pagecookery.com/)官方看是否推出修复补丁,如果没有推出请联系笔者告之漏洞或帮您修复!放心,这是免费的。

笔者:QQ87424111

相关阅读:

PageCookery是一款国产的微博客,采用Php+Mysql架构而成,是国内首款公开发行的单用户版Mblog程序,目前已支持jiwai.de双向同步。

官方20090909补丁:http://www.pagecookery.com/downloads/MB_0-5-1_090909.zip

五 : 北京铁通网间结算管理存漏洞 成诈骗温床

日前据媒体报道,云南省保山市两名诈骗犯罪份子,利用中国电信电话不断拨打北京铁通号码,恶意套取电信网间结算费用,造成保山电信分公司高额话费损失。据调查,类似这种利用网间结算套取差额的事件,在全国各地均有发生,且大多发生在弱势通信运营商身上。

据了解,2008年7月,犯罪分子邓会臣、朱洪伟分别在云南省保山市的4个宾馆,包租了房间和61部固定电话,通过在宾馆座机线路上安装自动循环拨号器,不间断地拨打北京铁通的长途号码,致使保山电信公司为此支付网间结算费61806.05元。

保山中级法院认定,邓会臣、朱洪伟两人以谋取非法利益为目的,采取循环拨号器连续拨号的方式,虚构合法用户正常使用电信设备的事实,导致电信运营网之间产生网间结算费用,从而获取非法利益,既扰乱了电信公司的正常营运秩序,又侵犯了电信公司的财产权益。两被告人的行为已触犯刑律,构成诈骗罪。

据了解,利用网间结算的差额赚钱,早已是不少地方电信运营商和代理商赚钱的潜规则,且代理商的“违法行为”都是在另一家电信运营商的默许和支持下操作的,通常采用这种“见不得光”手段赚钱的都是当地较弱的电信运营商。网间结算原本是企业之间的行为,不应该有“第三者”参与其中,否则难逃“投机”之嫌。不过,现有《电信管理条例》对此类行为的处罚力度过轻,网间结算制度有诸多不合理之处,监管部门管制力度不够也是此类事件层出不穷的原因之一。

本文标题:漏洞管理-Linux Kiss Server多个格式串处理漏洞
本文地址: http://www.61k.com/1153631.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1