发布日期：2001-04-29
更新日期：2001-04-29

受影响系统：

    Spencer Christensen Perl Web Server 0.3
    Spencer Christensen Perl Web Server 0.2
    Spencer Christensen Perl Web Server 0.1
    Spencer Christensen Perl Web Server 0.0.9
    Spencer Christensen Perl Web Server 0.0.4
    Spencer Christensen Perl Web Server 0.0.3
    Spencer Christensen Perl Web Server 0.0.2
    Spencer Christensen Perl Web Server 0.0.1

描述：

---

BUGTRAQ  ID: 2648
CVE(CAN) ID: CVE-2001-0462

Perl Web Server 是一个还处在实验阶段的跨平台WEB服务器项目。它没有阻止远程
用户访问虚拟WWW根目录以外的路径。这意味着如果攻击者知道敏感文件相对虚拟WWW
根目录的路径，就可以提交URL请求获取敏感文件内容。

<* 来源：(neme-dhc@hushmail.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

下述URL请求将获取/etc/password的内容

http://www.server.com/../../../../etc/passwd

"../"的数目依赖于具体的虚拟WWW根目录和/etc/passwd位置关系。



建议：

---

暂无

浏览次数：3757
严重程度：0（网友投票）