关键信息总结 CVE编号: CVE-2014-3683 报告状态: FINAL 报告者: - 初始检测和分析: mancha - 项目负责人: Rainer Gerhards 受影响组件: - rsyslog: 大部分版本(已检查的v3-stable及以上版本) - syslogd: (已检查的最近年版本) 简要描述: 在为CVE-2014-3634的sysklogd修复准备修补程序时,mancha发现并私下报告初始rsyslog修复方案不完整,未覆盖PRI值> MAX_INT导致整数溢出并产生负值的情况。 根本原因: 在解析syslog消息的PRI值时,如果PRI>MAX_INT,可能会发生整数溢出,导致负PRI值。CVE-2014-3634提供的解决方案未处理这种情况。 实际影响: - 通用: 几乎所有发行版默认未启用rsyslog远程接收,且默认防火墙规则阻止来自远程主机的syslog消息接收,即使rsyslog在监听。因此,在v7和v8中不可能触发漏洞。旧版本可能仍易受攻击,如果恶意用户写入本地日志套接字。 - syslogd: 不会造成额外问题,因为在CVE-2014-3634中,负PRI值被屏蔽,溢出区域最大为104字节。详细信息参见CVE-2014-3634。 - rsyslogd: 经历与syslogd相同的问题。因一些表查询在写入时使用,在v7和v8中,rsyslog的风险升级,参见CVE-2014-3634。与CVE-2014-3634相反,v5版本在应用CVE-2014-3634的补丁后也可能出现段故障。 如何利用: 发送PRI>MAX_INT的syslog消息,溢出应导致负值。通常发送PRI就足够了。 示例: 严重性: 因需对默认系统配置进行多重更改及潜在问题,该漏洞严重性被分类为MEDIUM。 补丁: - syslogd: 版本1.5的补丁可从http://sf.net/projects/mancha/files/sec/sysklogd-1.5_CVE-2014-3634.diff获得。 - rsyslog: 版本8.4.2不再易受攻击。不再受项目支持的7.6.7版本已收到补丁且不再易受攻击。8.4.1和7.6.6版本不能正确处理整数溢出和负PRI值,因此升级到这些版本不是充分解决方案。所有旧v7和v8版本均易受攻击。