当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Erlang/OTP多个命令注入漏洞(CVE-2014-1693)

     发表日期:2015-01-07 09:45:35

Erlang/OTP多个命令注入漏洞(CVE-2014-1693)
BugTraq-ID:71777
CVE-ID:CVE-2014-1693
发布日期:2014-01-28
更新日期:2014-12-25
受影响系统:
erlang erlang R15B03
详细信息:

Erlang/OTP是通用的编程语言及运行时环境。

 

Erlang/OTP R15B03及其他版本在实现上存在多个CRLF注入漏洞,上下文独立的攻击者通过user, account, cd, ls, nlist, rename, delete, mkdir, rmdir, recv, recv_bin, recv_chunk_start, send, send_bin, send_chunk_start, append_chunk_start, append, append_bin命令的CRLF序列,利用此漏洞可注入任意ftp命令。


来源:
Seba
参考信息:
http://seclists.org/oss-sec/2014/q1/163
测试方法:
警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!Seba ()提供了如下测试方法:

 

http://www.example.com/list_dir.yaws?dir=/docs/%0d%0aRMD+/docs
解决办法:
厂商补丁:

erlang
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

 

http://www.erlang.org/

 

[1] http://seclists.org/oss-sec/2014/q1/163

[2] http://erlang.org/pipermail/erlang-bugs/2014-January/003998.html