安全研究
安全漏洞
Bugzilla 任意执行远程命令
发布日期:2001-05-04
更新日期:2001-05-04
受影响系统:
Mozilla Bugzilla 2.8
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
- Microsoft Windows NT 3.5.1
Mozilla Bugzilla 2.6
Mozilla Bugzilla 2.4
Mozilla Bugzilla 2.10
不受影响系统:
Mozilla Bugzilla 2.12
描述:
BUGTRAQ ID: 2670
Bugzilla是一个基于WEB的漏洞收集系统,使用了Perl和MySQL。某些版本的Bugzilla
存在漏洞,允许远程用户在目标WEB服务器上执行任意命令。
Bugzilla使用了Perl提供的system()函数,但是在将Email地址做为参数传递给
system()函数之前,未检查shell元字符,因此恶意的远程用户有可能利用一个精心
构造的Email地址在目标WEB服务器上执行任意命令,仅受WEB进程所拥有权限的限制。
<* 来源:Dave Aitel (
daitel@atstake.com)
Andrew Danforth (
acd@atstake.com) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
参看漏洞描述
建议:
访问如下链接获取补丁:
http://ftp.mozilla.org/pub/webtools/bugzilla-2.12.tar.gz
浏览次数:4243
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |