OPeNDAP BES压缩文件远程命令执行漏洞

受影响系统：   2 @7 [5 F2 N# Q# C& X9 K
OPeNDAP Hyrax 1.2
6 b, [0 W, x. L' tOPeNDAP BES 3.4.2  
0 G3 b" T; X+ {7 f4 e( q8 V& o5 I8 r) J6 o4 d
不受影响系统：   
/ H; u7 V9 l3 B- `( l/ d1 V; zOPeNDAP Hyrax 1.2.1# v( s1 Z9 h# r3 [( t7 b3 A. ?
OPeNDAP BES 3.5  + k+ \+ d3 d' D
+ {! H0 A; `% S0 C; H
描述：  : H; L# i" T8 g8 E8 [4 L. ~! I
BUGTRAQ  ID: 240553 @2 z9 r# G  O' Z9 {9 d

; f$ p# P; |' w) p9 X* v  hOPeNDAP软件包可帮助研究人员交换以不同格式存储的数据组。- X0 }  `. R2 r

% Z. j  Z% c$ R, VOPeNDAP在处理畸形格式的数据时存在漏洞，远程攻击者可能利用此漏洞非授权访问控制服务器。4 K, m4 {' x) e: p' ], o

) [& g% k% r  |OPeNDAP服务器中的BES守护程序没有正确地验证压缩文件中所提供的数据。如果攻击者向有漏洞的服务器发送了特制的压缩文件的话，就可能导致执行任意命令或向远程服务器上传文件。$ b3 d) m) i  @0 s
/ F: o" w7 r- n1 |0 N, ~
<*来源：NCIRT labs
( H9 U1 R  Z; p+ I; E! D3 i  8 o* ~, v+ ?6 L; K, B, _3 u
  链接：http://www.kb.cert.org/vuls/id/659148
3 }8 }2 m& ^; m4 g+ l*>/ P6 M4 D3 }$ x2 f) @" D1 R! C: t

& \7 U  B) ^6 d1 V: l4 f0 t- [建议：  
0 T- P$ g6 X" U' a7 H厂商补丁：# w4 [% l7 R: {& s3 e5 e. W

' E: F- d# e$ f* ^9 N, z6 C+ hOPeNDAP( ?  z" _! A2 P  c& `1 y
-------
. Y* c  k  ~* a5 n0 M- O5 M目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：' C; ?) f: z. R; }2 |; P% c$ G

6 R  p8 o0 B# r! _3 Whttp://www.opendap.org/pub/source/bes-3.5.0.tar.gz