发布日期：2000-11-22
更新日期：2000-11-22

受影响系统：

Acme thttpd 2.1x
       - RedHat Linux 7.0
       + FreeBSD FreeBSD 4.1.1
       + FreeBSD FreeBSD 3.5.1
       + FreeBSD FreeBSD 4.1.1

描述：

---

thttpd 是 Acme 实验室开发的小型httpd软件包，其中存在一个缺陷允许远程用户遍
历wwwroot之外的目录。

问题是由于该软件包中附带的CGI脚本未能正确过滤来自URL请求的"../"，恶意的远
程用户利用该技术以thttpd server当前运行身份遍历根目录。

<* 来源：FreeBSD Security Team *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

    参看漏洞描述

建议：

---

针对该问题的补丁如下：

Acme thttpd 2.1x:
FreeBSD upgrade ports-3 i386 thttpd-2.20b.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/www/thttpd2.20b.tgz

FreeBSD upgrade ports-4 i386 thttpd-2.20b.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/thttpd2.20b.tgz

FreeBSD upgrade ports-4 alpha thttpd-2.20b.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/www/thttpd-2.20b.tgz

FreeBSD upgrade ports-5 i386 thttpd-2.20b.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/thttpd-2.20b.tgz

FreeBSD upgrade ports-5 alpha thttpd-2.20b.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/www/thttpd-2.20b.tgz


浏览次数：5987
严重程度：0（网友投票）