SILC伺服器NEW_CLIENT報文遠程拒絕服務漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】SILC是安全的互聯網會議討論系統，可以發送任何類型的信息，包括多媒體信息，如視頻、音頻、圖像等。它在處理畸形用戶資料時存在漏洞，如果遠程攻擊者向SILC伺服器發送了沒有暱稱的特製NEW_CLIENT報文的話，就會導致伺服器崩潰。

發佈日期：2008-03-14

更新日期：2008-04-25

受影響系統：

SILC server < 1.1.1

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 28450

CVE(CAN) ID: CVE-2008-1429

SILC（Secure Internet Live Conferencing）是安全的互聯網會議討論系統，可以發送任何類型的信息，包括多媒體信息，如視頻、音頻、圖像等。

SILC處理畸形用戶資料時存在漏洞，如果遠程攻擊者向SILC伺服器發送了沒有暱稱的特製NEW_CLIENT報文的話，就會導致伺服器崩潰。

<*來源：SILC

鏈接：http://secunia.com/advisories/29459

http://silcnet.org/docs/release/SILC%20Server%201.1.1

http://security.gentoo.org/glsa/glsa-200804-27.xml

*>

建議：

----------------------------------------------------------------------------

廠商補丁：

Gentoo

------

Gentoo已經為此發佈了一個安全公告（GLSA-200804-27）以及相應補丁:

GLSA-200804-27：SILC: Multiple vulnerabilities

鏈接：http://security.gentoo.org/glsa/glsa-200804-27.xml

所有SILC Toolkit用戶都應升級到最新版本：

# emerge --sync

# emerge --ask --oneshot --verbose ">=3Dnet-im/silc-toolkit-1.1.7"

所有SILC Client用戶都應升級到最新版本：

# emerge --sync

# emerge --ask --oneshot --verbose ">=3Dnet-im/silc-client-1.1.4"

所有SILC Server用戶都應升級到最新版本：

# emerge --sync

# emerge --ask --oneshot --verbose ">=3Dnet-im/silc-server-1.1.2"

SILC

----

目前廠商已經發佈了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://silcnet.org/software/download/server/

(