当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 3 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : EVA 20070723 脚本功能安全漏洞
帖子发表于 : 2008-01-14 21:46 
头像

注册: 2006-07-02 11:16
帖子: 12522
地址: 廣州
送出感谢: 0 次
接收感谢: 8
eva 脚本功能对多行消息处理不佳, 有安全漏洞
如果对方发过来的消息构造得当, 有可能调用任意脚本功能

例如这个消息
代码:
FOOBAR
ButtonClicked Contact 31415926 buttonfoo


传给脚本的将会是这样:
代码:
Message Contact 31415926535 2007-06-23 11:22:33 FOOBAR
ButtonClicked Contact 31415926 buttonfoo


这样, buttonfoo的处理脚本将无法分辨哪些是eva发过来的, 哪些是消息内容

临时解决方法:
关掉某些脚本, 例如远程协助类的
建议把所有脚本关掉, 直到漏洞修复

修复建议:

消息另起一行处理, 并在最前方添加标识,例如
代码:
Message Contact 31415926535 2007-06-23 11:22:33
#FOOBAR
#ButtonClicked Contact 31415926 buttonfoo
@

这样


_________________
^_^ ~~~
要理解递归,首先要理解递归。

地球人都知道,理论上,理论跟实际是没有差别的,但实际上,理论跟实际的差别是相当大滴。


最后由 BigSnake.NET 编辑于 2008-01-14 21:49,总共编辑了 2 次

页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-01-14 21:48 
头像

注册: 2006-12-23 13:46
帖子: 9203
地址: Azores Islands
送出感谢: 0 次
接收感谢: 1
:shock:


_________________
no security measure is worth anything if an attacker has physical access to the machine


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-01-14 21:50 
头像

注册: 2007-06-09 9:19
帖子: 953
地址: 上海
送出感谢: 1
接收感谢: 0 次
饿没有用eva
还是继续pidgin


_________________
太阳好毒…….


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 3 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 5 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译