目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2011-3200 — 神龙十问 AI 深度分析摘要

Q1这个漏洞是什么?(本质+后果)

🚨 **本质**:RSyslog 的 `parseLegacySyslogMsg()` 函数存在**基于栈的缓冲区溢出**。 💥 **后果**:远程攻击者发送超长 TAG 的旧系统日志消息,导致**应用程序崩溃**(拒绝服务 DoS)。

Q2根本原因?(CWE/缺陷点)

🔍 **缺陷点**:CWE 未指定,但核心是**栈缓冲区溢出**。 ⚠️ **原因**:函数在处理日志消息时,未对输入长度进行严格边界检查,导致栈溢出。

Q3影响谁?(版本/组件)

🎯 **受影响组件**:Adiscon **RSyslog** 的 `tools/syslogd.c`。 📦 **具体版本**: - **4.6.x** 系列(**4.6.8 之前**) - **5.2.0 至 5.8.4** 版本

Q4黑客能干啥?(权限/数据)

🕵️ **黑客能力**:目前描述主要指向 **DoS(拒绝服务)**。 🚫 **直接后果**:导致 syslogd 进程退出,系统日志收集中断。 ⚠️ **潜在风险**:栈溢出通常可转化为 **RCE(远程代码执行)**,但官方描述仅确认了崩溃。

Q5利用门槛高吗?(认证/配置)

📶 **利用门槛**:**低**。 🔓 **认证**:**无需认证**,远程即可触发。 📝 **配置**:只需向目标发送包含**超长 TAG** 的旧系统记录消息即可。

Q6有现成Exp吗?(PoC/在野利用)

📜 **PoC/Exp**:提供的数据中 `pocs` 字段为空,**无现成公开 PoC**。 🌍 **在野利用**:数据未提及在野利用情况,但漏洞性质严重,需警惕。

Q7怎么自查?(特征/扫描)

🔎 **自查方法**: 1. 检查 RSyslog 版本是否在 **4.6.8 前** 或 **5.2.0-5.8.4** 之间。 2. 监控日志服务是否频繁**非正常退出**或崩溃。 3. 扫描网络中是否有发送畸形/超长 TAG 日志的流量。

Q8官方修了吗?(补丁/缓解)

🛡️ **官方修复**:**已修复**。 📅 **时间**:2011年9月6日发布。 📚 **参考**:RedHat (RHSA-2011:1247)、SUSE (openSUSE-SU-2011:1020) 等厂商均发布了安全公告和补丁。

Q9没补丁咋办?(临时规避)

🚧 **临时规避**: 1. **升级** RSyslog 至安全版本。 2. 若无法升级,配置日志过滤器,**丢弃或截断** 包含超长 TAG 的旧系统消息。 3. 限制日志接收服务的网络访问权限。

Q10急不急?(优先级建议)

⚡ **优先级**:**高**。 📉 **理由**:无需认证、远程触发、导致服务中断。虽然主要确认为 DoS,但栈溢出漏洞极易被利用进行更严重的攻击。建议**立即升级**或应用厂商补丁。