Linux Kiss Server lks.c文件多个格式串处理漏洞

Linux Kiss Server 1.2：系统漏洞与警示

描述：

Linux Kiss Server是一款专为替代PC-LINK软件的服务程序而设计的产品，既可以作为守护程序运行，也可以在前台运行。近期我们发现其存在一个不容忽视的安全漏洞，存在于以前台模式运行的Linux Kiss Server的lks.c文件中的log_message()函数中。

漏洞细节：

log_message()函数在处理特定格式字符串时存在漏洞，这一缺陷可能被攻击者利用来获得非授权访问。具体的漏洞代码如下：

Function log_message():

if(background_mode == 0)

{

if(type == ’l’)

fprintf(stdout,log_msg);

if(type == ’e’)

fprintf(stderr,log_msg);

free(log_msg);

}

以及Function kiss_parse_cmd()中的部分代码：

如果输入特定的字符串，例如%n%n%n到buf中，就可能触发这个漏洞。这个漏洞的存在，让攻击者有可能利用这个缺陷执行恶意操作，获取未授权访问权限。

厂商响应：

目前，厂商尚未提供针对此漏洞的补丁或升级程序。我们强烈建议此软件的用户密切关注厂商的主页，以获取版本的更新信息：

警示：

这是一个严肃的网络安全问题，对于使用Linux Kiss Server的用户来说，需要立即采取行动。我们强烈建议所有用户了解这个漏洞的详情，并密切关注厂商提供的更新信息。为了最大限度地保护您的系统安全，我们建议您采取一切可能的预防措施，避免潜在的网络安全威胁。在此，我们再次强调网络安全的重要性，希望所有用户都能充分认识到这个问题并采取必要的措施。