RootSSV:2427Apple CFNetwork HTTP空指针引用拒绝服务漏洞
EPSS
Percentile
99.4%
BUGTRAQ ID: 22249
CVE(CAN) ID: CVE-2007-0464
Apple Mac OS X是苹果家族机器所使用的操作系统。
Mac OS X的CFNetwork处理畸形回应数据时存在漏洞,远程攻击者可能利用此漏洞导致客户端崩溃。
CFNetwork是一个Core Services框架,可提供解压网络协议所需的函数库。Mac OS X的CFNetwork没有正确地处理某些HTTP响应,_CFNetConnectionWillEnqueueRequests()函数可能会引用空指针。如果服务器向使用这个API的客户端发送了特制响应的话,就可以触发这个漏洞,导致拒绝服务的情况。
Apple Mac OS X 10.4 - 10.4.10
Apple MacOS X Server 10.4 - 10.4.10
临时解决方法:
- 过滤通过CFNetwork API接收到的HTTP响应。
厂商补丁:
Apple
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=16036&cat=1&platform=osx&method=sa/MacOSXUpdCombo10.4.11Intel.dmg” target=“_blank”>http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=16036&cat=1&platform=osx&method=sa/MacOSXUpdCombo10.4.11Intel.dmg</a>
<a href=“http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=16051&cat=1&platform=osx&method=sa/MacOSXUpdCombo10.4.11PPC.dmg” target=“_blank”>http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=16051&cat=1&platform=osx&method=sa/MacOSXUpdCombo10.4.11PPC.dmg</a>
http://projects.info-pull.com/moab/bug-files/MOAB-25-01-2007.rb
http://projects.info-pull.com/moab/bug-files/MOAB-25-01-2007.c
Related
