Versiones 1.x, 2.x y 3.02.10 de The Bat! no afectadas por fallo "subject buffer overflow"

Por marcelo-ar - 27 de Febrero, 2006, 5:32, Categoría: General

[Actualizado 02/03/2006]
Motivo por el cual los desbordamientos de buffer no son explotables en The Bat!
(ver al final del post)


A pesar de lo que informan algunos medios, las versiones 1.x, 2.x y -al menos- la 3.02.10 de The Bat! no estan afectadas por el fallo de desbordamiento de buffer descripto en este post:
Vulnerabilidad en The Bat! 3.60.07 permite ejecutar código arbitrario

En  el  foro batboard.de, "de-bugger" (Miroslav) probó  las  versiones  1.62r, 2.12.04, 3.02.10, y 3.60.07 en distintos Windows (XP/2000/98).
Miroslav solo pudo generar el fallo al probar la versión 3.60.07 (la que fue reportada como vulnerable en este mensaje a Bugraq):

"Pufferüberlauf in The Bat!, Update auf Final 3.71 zwingend"
post: "25.02.2006, 11:39"
http://www.batboard.net/index.php?showtopic=5912
Traduccion al ingles de ese post mediante herramientas del idioma de Google:
Buffer overflow in The Bat!

Lo mismo informa en la web http://bat-mail.de.vu/ (en aleman)
Esta es la traducción al ingles del texto:

25.02.2006
Buffer overflow in TheBat!
Heise  Security  reports the TheBat in a News message,! with excessive
lines  for  reference  text to a buffer overflow is susceptible. First
tests  which  I  with  excessive  lines for reference text (up to 8000
words  in  the  reference) resulted in, that accomplished the versions
v1.x  (v1.62r)  and v2.x (v2.12.04) of TheBat! by this problem are not
affected.  Starting  from  when exactly the problem arises with the v3
cannot  I not say, at least showed the version v3.02.10 (old GUI) also
no  reaction  to  excessive  lines  for  reference  text.  The version
v3.60.07 against it said good-bye without comment.


Cualquiera podría pensar que lo más fácil para estar a salvo de este fallo es actualizarse a la versión más reciente de The Bat!, sin embargo, para actualizarse desde una versión, por ejemplo, la 1.62 a la 3.71, hay que pagar, ya que no sirve la misma licencia.

Nota: Según lo que comenta NetVicious (quien es uno de los moderadores del GDUTB con amplios conocimientos sobre este gestor de correo), The Bat! esta programado en Delphi, de modo que no es factible ejecutar codigo arbitrario mediante ataques del tipo desbordamiento de buffer, solo se podría ocasionar que The Bat! de un error.
Enlaces provistos por NetVicious:
http://en.wikipedia.org/wiki/Talk:Buffer_overflow#Choice_of_programming_language
http://www.mail-archive.com/tbudl@thebat.dutaint.com/msg12019.html

El Blog

Calendario

<<   Febrero 2006  >>
LMMiJVSD
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker