2008年3月安全漏洞汇编

Microsoft 安全公告 MS08-014 - 严重

Microsoft Excel 中的漏洞可能允许远程执行代码(949029)

Excel 数据验证记录漏洞 - CVE-2008-0111

Excel 在将 Excel 文件加载到内存时处理数据验证记录的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送格式错误的文件来利用该漏洞，该文件可能宿主在特制的或被破坏的网站上，或者是电子邮件附件。

Excel 文件导入漏洞 - CVE-2008-0112

Excel 在将文件导入 Excel 时处理数据的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送格式错误的 .slk 文件来利用该漏洞，该文件可能宿主在特制的或被破坏的网站上，或者是电子邮件附件，然后可能被导入到 Excel。

Excel 样式记录漏洞 - CVE-2008-0114

Excel 在打开 Excel 时处理样式记录数据的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送格式错误的文件来利用该漏洞，该文件可能宿主在特制的或被破坏的网站上，或者是电子邮件附件。

Excel 公式分析漏洞 - CVE-2008-0115

Excel 处理格式错误的公式的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送格式错误的文件来利用该漏洞，该文件可能宿主在特制的或被破坏的网站上，或者是电子邮件附件。

Excel 文本验证漏洞 - CVE-2008-0116

Excel 在将应用程序数据加载到内存时处理富文本值的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送格式错误的文件来利用该漏洞，该文件可能宿主在特制的或被破坏的网站上，或者是电子邮件附件。

Excel 条件格式漏洞 - CVE-2008-0117

Excel 处理条件格式值的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送格式错误的文件来利用该漏洞，该文件可能宿主在特制的或被破坏的网站上，或者是电子邮件附件。

宏验证漏洞 - CVE-2008-0081

Excel 在打开特制 Excel 时处理宏的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送格式错误的文件来利用该漏洞，该文件可能宿主在特制的或被破坏的网站上，或者是电子邮件附件。

Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
2007 Microsoft Office System
Microsoft Office Excel Viewer 2003
用于 Word、Excel 和 PowerPoint 2007 文件格式的 Microsoft Office 兼容包
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac

Microsoft Outlook 中的漏洞可能允许远程执行代码 (949031)

Outlook URI 漏洞 – CVE-2008-011

Outlook 中存在一个远程执行代码漏洞。 该漏洞可能允许远程执行代码（如果 Outlook 客户端被传递特制的 mailto URI）。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

紧急

Microsoft Office 单元格分析内存损坏漏洞 – CVE-2008-0113

Microsoft Office 处理特制 Excel 文件的方式中存在一个远程执行代码漏洞。 攻击者可能通过创建格式错误的文件来利用该漏洞，该文件可能作为电子邮件附件提供或者宿主在特制的或被破坏的网站上。

如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

Microsoft Office 内存损坏漏洞 - CVE-2008-0118

Microsoft Office 处理格式错误的 Office 文件的方式中存在一个远程执行代码漏洞。 攻击者可能通过创建格式错误的 Office 文件来利用该漏洞，该文件可能作为电子邮件附件提供或者宿主在特制的或被破坏的网站上。

如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

远程执行代码

Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office 2004 for Mac

Microsoft Office Web Components 中的漏洞可能允许远程执行代码 (933103)

Office Web Components URL 分析漏洞 - CVE-2006-4695

Microsoft Office Web Components在分析特制 URL 时管理内存资源的方式中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的网页来利用该漏洞。 当用户查看网页时，该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

Office Web Components 数据源漏洞 - CVE-2007-1201

Microsoft Office Web Components 在管理内存资源的方式中存在一个远程执行代码漏洞。 攻击者可以通过构建特制的网页来利用该漏洞。 当用户查看网页时，该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

远程代码执行

Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Visual Studio .NET 2002 Service Pack 1
Visual Studio .NET 2003 Service Pack 1
Microsoft BizTalk Server 2000
Microsoft BizTalk Server 2002
Microsoft Commerce Server 2000
Internet Security and Acceleration Server 2000 Service Pack 2

DB2 Monitoring Console文件上传和非授权访问漏洞

BUGTRAQ  ID: 28253

DB2 Monitoring Console是轻型的基于web的DB2控制台。

DB2 Monitoring Console中的安全漏洞允许向运行该应用的Web服务器上传文件；如果用户受骗跟随了恶意链接的话，还可能导致访问当前用户所连接的数据库。成功攻击要求知道DB2 MC Web服务器的地址。

DB2 Monitoring Console DB2 Monitoring Console 2.2.18

Fully Modded PHPBB2 kb.php文件SQL注入漏洞

BUGTRAQ ID: 28225

Fully Modded PHPBB2是一款基于PHP的论坛程序。

PHPBB2在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞执行SQL注入攻击。

如果将mode设置为article且设置了page_num的话，Fully Modded PHPBB2的kb.php文件没有正确地验证k参数便将其用到了SQL查询中，这允许攻击者通过提交特制的SQL查询请求执行SQL注入攻击。成功攻击可能允许攻击者检索管理员用户名和口令哈希，但要求知道数据库表前缀。

旁路攻击

Microsoft IE FTP跨站命令注入漏洞

BUGTRAQ ID: 28208

Internet Explorer是微软发布的非常流行的WEB浏览器。

如果用户访问了包含有恶意FTP URL的网页的话，Internet Explorer 5和6解码可能无法正确地过滤URL，强制Internet Explorer通过在HTML元素所提供的URL中每条命令后注入URL编码的CRLF对连接起FTP命令。
   <iframe src="ftp://user@site:port/%0D%0ADELE%20foo.txt%0D%0A//"/>
  
此外，如果恶意URL的末尾添加了两个斜线的话，Internet Explorer就会试图使用同一浏览器会话中用户之前所创建的已通过预认证的连接。

如果用户已将通过预认证连接到FTP服务器，知道了该连接用户名和端点的攻击者就可以依附到用户会话以执行任意命令。预认证连接不是这种攻击所必须的条件，因为如果URL中没有指定用户名的话，Internet Explorer就会尝试匿名登录。如果仅指定了用户名，没有将结尾的斜线附加到字符串，Internet Explorer就会发送带有空口令的用户名；如果没有指定用户名，Internet Explorer就会试图使用IEUser@用户登录。

某些攻击可能取决于目标FTP服务器所使用的命令tokenize策略及安全配置，例如，大多数FTP服务器不允许与请求客户端不同地址端点的PORT请求。

提升权限

Timbuktu Pro文件上传及日志注入漏洞

BUGTRAQ ID: 28081

Motorola的Timbuktu Pro是一款远程控制软件，允许远程访问计算机桌面。

Timbuktu的tb2pro.exe所加载的tb2ftp.dll库在实现Notes功能期间检查目标文件名时没有正确地过滤和'/'字符，允许攻击者执行目录遍历攻击，向目标机器的任意位置上传文件；Timbuktu直接从用户所发送的报文中获取了一些包含有对等端信息的字段（计算机名、用户名、IP地址等），并在目标机器的屏幕上显示这些信息，这就允许攻击者在受害用户的日志行中伪造对等端信息。

以下是反汇编的漏洞代码：

/-----------

.text:6063A62E mov　edx, [ebp+lp]
.text:6063A631 mov　eax, [edx+20h];Packet field containing filename
.text:6063A634 push　eax　　EAX is also the output buffer
.text:6063A635 call　ds:Pascal2C; Extract filename from packet

.text:6063A63B push　;Char to filter in the filename
 .text:6063A63D mov　 ecx, [ebp+lp]
 .text:6063A640 mov　 edx, [ecx+20h]
 .text:6063A643 push　edx; Filename obtained in 0x6063A635
 .text:6063A644 call　_strrchr ; Search for in the filename
 .text:6063A649 add　 esp, 8; At this point, the pointer to the
 　　　　　　　　position of theis obtained and
 　　　　　　　　will be stored in a local variable.
 
 .text:6063A64C mov　 [ebp+pSlashPosition], eax ; Store pointer
 .text:6063A64F cmp　 [ebp+pSlashPosition], 0; This is the BUG !!!!
 .text:6063A653 jnz　 short loc_6063A669 ; It avoids checking '/' if
 　　　　　　　　　　　 was found, so we must
 　　　　　　　　　　　 "../" as we want :)
 
 .text:6063A655 push　'/'; This check won't be done
 .text:6063A657 mov　 eax, [ebp+lp]; because thewas found
 .text:6063A65A mov　 ecx, [eax+20h]
 .text:6063A65D push　ecx
 .text:6063A65E call　_strrchr
 .text:6063A663 add　 esp, 8
 .text:6063A666 mov　 [ebp+pSlashPosition], eax
 
 .text:6063A669 loc_6063A669:
 .text:6063A669 cmp　 [ebp+pSlashPosition], 0 ; Check if a slash was
 　　　　　　　　　found so
 .text:6063A66D jz　short loc_6063A68C ; it
 copies past it's ;position
 .text:6063A66F push　200h
 .text:6063A674 mov　 edx, [ebp+pSlashPosition]; Get theposition
 and move
 .text:6063A677 add　 edx, 1 ;forward 1 byte to avoid it
 .text:6063A67A push　edx
 .text:6063A67B mov　 eax, [ebp+lp]
 .text:6063A67E add　 eax, 4B0h
 .text:6063A683 push　eax
 .text:6063A684 call　ds:lstrcpynA; From know on, the filename
 .text:6063A68A jmp　 short loc_6063A6A ; contains something like
 　　　　　　　 ; ../a.exe :)
 . . . . .

- -----------/

IBM Rational ClearQuest多个参数跨站脚本漏洞

BUGTRAQ  ID: 28296

CVE(CAN) ID: CVE-2007-4592

IBM Rational ClearQuest是全面的软件变更、追踪管理解决方案。

Rational ClearQuest没有正确地验证对contextid、schema、userNameVal、username变量的输入参数，允许远程攻击者通过提交特制的URL请求执行跨站脚本攻击。

客户信息泄露

IBM Rational ClearQuest 7.0.1.0_iFix01
IBM Rational ClearQuest 7.0.0.1_iFix04
IBM Rational ClearQuest 2003.06.16 Patch 2007C

BUGTRAQ  ID: 28283
Home Ftp Server是一款简单易用的FTP服务器。

Home Ftp Server在处理连接时存在漏洞，如果Home Ftp Server处于被动模式的话，连接到FTP数据端口然后关闭原始的FTP连接就会导致服务器崩溃。

拒绝服务攻击

BUGTRAQ ID: 28272

PHPBP是在波兰广泛使用的网站内容管理系统。

PHPBP的includes/functions/banners-external.php脚本文件中没有正确地验证对id参数的输入，允许远程攻击者通过提交特制的SQL查询请求执行SQL注入攻击。

以下是有漏洞的代码段：

...
3   function banner_out() //zlicza ilosc klikniec na banner
4   {
5    global $conf;
6
7    if($_GET['id'])
8    {
9     SQLvalidate($_POST['id']);
10
11    $db = new dbquery;
12    $db->query("SELECT * FROM $conf[prefix]banners WHERE id=$_GET[id]") or $db->err(__FILE__, __LINE__);
13
14    if($db->num_rows()==0)
15    {
16     redirect('index.php?module=error?error=banners_error2');
17     exit;
18    }
19
20    $d=$db->fetch_object();
21    $db->query("UPDATE $conf[prefix]banners SET views=views+1 WHERE id='$_GET[id]'") or $db->err(__FILE__, __LINE__);
22
23    redirect($d->url);
24   }
25
26   exit;
27  }
...

旁路攻击

PHP BP Team phpBP

PCRE字符类缓冲区溢出漏洞

BUGTRAQ ID: 27786
CVE(CAN) ID: CVE-2008-0674

PCRE（Perl兼容正则表达式）库是个开放源代码的软件，可提供正则表达式支持。

PCRE在处理字符类时存在缓冲区溢出漏洞，如果用户发送了codepoint大于255的超长UTF-8字符类的话，就可能触发这个溢出，导致执行任意指令。

远程代码执行

BUGTRAQ ID: 28289
CVE(CAN) ID: CVE-2007-5618,CVE-2008-1364,CVE-2008-1270

VMWare是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

VMWare产品中存在多个安全漏洞，允许恶意的本地用户获得权限提升或导致拒绝服务。

在Windows 2000上运行的VMware产品产品可能错误的注册某些服务，允许用户获得权限提升。

运行在主机上的DHCP服务中存在拒绝服务漏洞；虚拟机通讯接口（VMCI）中存在内存破坏漏洞，如果对该接口执行了特殊的调用的话，就会耗尽内存，导致拒绝服务。

拒绝服务攻击

Adobe Flash CS3 Professional FLA文件处理代码执行漏洞

BUGTRAQ  ID: 28349

CVE(CAN) ID: CVE-2008-1201
Adobe Flash CS3 Professional软件是用于为数码、Web和移动平台创建丰富的交互式内容的最高级创作环境。

Adobe Flash CS3 Professional处理畸形格式的.FLA文件时存在漏洞，攻击者可能利用此漏洞提升权限。

如果用户受骗使用Flash CS3 Professional打开了畸形的.FLA文件的话，就可能导致执行任意指令。 FLA是Flash Professional和Flash Basic的私有文件格式，Flash Player和浏览器都无法解释FLA文件，因此无法远程利用这个漏洞。

远程代码执行

Adobe Flash Professional 8
Adobe Flash CS3 Professional 9.0
Adobe Flash Basic 8

Belkin Wireless G Router绕过安全限制和拒绝服务漏洞

BUGTRAQ  ID: 28322,28319,28317

CVE(CAN) ID: CVE-2008-1242,CVE-2008-1244,CVE-2008-1245
Belkin Wireless G Router是一款家用的无线路由器。

Belkin Wireless G Router中的多个安全漏洞可能允许恶意用户绕过安全限制或导致拒绝服务。

1) 认证会话实现中的错误允许用户通过从之前已认证的IP地址创建会话来获得对路由器控制面板的访问。

2) 在cgi-bin/setup_dns.exe中强制权限方式中的错误允许用户通过直接访问有漏洞的脚本执行有限的管理操作。

3) cgi-bin/setup_virtualserver.exe脚本在处理HTTP POST数据是存在错误，远程攻击者可以通过发送带有Connection: Keep-Alive头的特制HTTP POST请求导致无法管理访问受影响的设备。

旁路攻击或拒绝服务攻击

Belkin Wireless G Router F5D7230-4 9.1.10

PostNuke pnVarPrepForStore()函数SQL注入漏洞

BUGTRAQ  ID:28407
PostNuke是一款开放源码、开放开发的内容管理系统（CMS）。

PostNuke的pnVarPrepForStore()函数中存在SQL盲注漏洞，远程攻击者可能利用此漏洞非授权操作数据库。

以下是有漏洞部分的代码：

1. function pnVarPrepForStore()
2. {
3.     $resarray = array();
4.     foreach (func_get_args() as $ourvar) {
5.         if (!get_magic_quotes_runtime() && !is_array($ourvar)) {
6.             $ourvar = addslashes($ourvar);
7.            }
8.         // Add to array
9.         array_push($resarray, $ourvar);
10.     }
11.     // Return vars
12.     if (func_num_args() == 1) {
13.         return $resarray[0];
14.     } else {
15.         return $resarray;
16.     }
17. }

这个函数用于准备sql查询的变量，向给出的变量添加斜线。如果在服务器配置中打开了magic_quotes_runtime()的话，由于变量已经清除，因此脚本不会执行任何操作。这允许攻击者通过提交恶意的SQL查询请求执行SQL注入攻击。

旁路攻击

PostNuke PostNuke <= 0.764

ZyXEL ZyWALL Quagga及Zebra进程默认帐号口令漏洞

BUGTRAQ  ID: 28184

CVE(CAN) ID: CVE-2008-1160
Zywall是一款由Zyxel开发和维护的硬件防火墙。

Zyxel的Quagga和Zebra路由守护程序访问认证的实现上存在漏洞，远程攻击者可能利用此漏洞获取非授权访问。

即使已经更改了设备的口令，仍没有更改登录到Quagga/Zebra守护程序所需的口令。这些守护程序运行在TCP 2601、2602（Quagga/RIP）和2604（Quagga/OSPF）端口上。攻击者可以使用默认的口令zebra登录到Quagga/Zebra服务，查看并操控设备的路由信息。

非授权访问

多家厂商rpc.ypupdated远程可执行任意命令漏洞

BUGTRAQ  ID: 1749

CVE(CAN) ID: CVE-1999-0208
rpc.ypupdated RPC守护进程是Network Information Service (NIS)的一个组件，它使NIS客户端更新自己的NIS数据库。

rpc.ypupdated守护进程实现上存在输入验证漏洞，远程攻击者可能利用此漏洞以root用户的权限在主机上执行任意命令。

当守护进程收到一个Yello Pages的更新请求，它会调用Bource Shell执行'make'命令来重新计算数据库，由于没有对用户输入进行充分过滤和检查，远程攻击者可以在输入中插入某些Shell转义符来执行攻击者指定的命令。

权限提升

Multiple Vendor rpc.ypupdated
- HP HP-UX 10.20
- HP HP-UX 10.10
- HP HP-UX 10.1
- IBM AIX 4.1
- IBM AIX 3.2
- SGI IRIX 6.0.1XFS
- SGI IRIX 6.0.1
- SGI IRIX 6.0
- SGI IRIX 5.3XFS
- SGI IRIX 5.3
- SGI IRIX 5.2
- SGI IRIX 5.1.1
- SGI IRIX 5.1
- SGI IRIX 5.0.1
- SGI IRIX 5.0
- SGI IRIX 4.0.5IPR
- SGI IRIX 4.0.5H
- SGI IRIX 4.0.5G
- SGI IRIX 4.0.5F
- SGI IRIX 4.0.5E
- SGI IRIX 4.0.5D
- SGI IRIX 4.0.5A
- SGI IRIX 4.0.5(IOP)
- SGI IRIX 4.0.5
- SGI IRIX 4.0.4T
- SGI IRIX 4.0.4B
- SGI IRIX 4.0.4
- SGI IRIX 4.0.3
- SGI IRIX 4.0.2
- SGI IRIX 4.0.1T
- SGI IRIX 4.0.1
- SGI IRIX 4.0
- SGI IRIX 3.3.3
- SGI IRIX 3.3.2
- SGI IRIX 3.3.1
- SGI IRIX 3.3
- SGI IRIX 3.2
- Sun SunOS 4.1PSR_A
- Sun SunOS 4.1.4-JL
- Sun SunOS 4.1.4
- Sun SunOS 4.1.3_U1
- Sun SunOS 4.1.3c
- Sun SunOS 4.1.3
- Sun SunOS 4.1.2
- Sun SunOS 4.1.1
- Sun SunOS 4.1