发布日期：2001-02-19
更新日期：2001-02-19

受影响系统：

   ITAfrica WEBactive 1.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows NT 4.0
    - Microsoft Windows NT 2000

描述：

---

BUGTRAQ  ID: 2386
CVE(CAN) ID: CAN-2001-0306

ITAfrica的WEBactive HTTP Server 1.00 是一个遵从HTTP/1.00 协议的
WWW 服务器，主要用于 Windows 95或 Windows NT。可以从下面的站点下载：

ftp://ftp.euro.net/d3/Windows/winsock-l/Windows95/Daemons/HTTPD/activ100.zip

远程用户可以读取 ITAfrica WEBactive 根目录之外的目录和文件。提交
一个特殊的URL，其中含有'../'序列，就可以暴露任何目录。

<* 来源：(slipy@b10z.net) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

   例如，输入如下形式的 URL：

     http://target/../../../scandisk.log

   将打开 scandisk.log 文件。

建议：

---

临时解决办法：

   NSFOCUS建议您换用别的替代产品，这个软件已不再生产。


厂商补丁：

   暂无


浏览次数：3828
严重程度：0（网友投票）