发布日期：2001-05-29
更新日期：2001-05-29

受影响系统：

  Faust Informatics Freestyle Chat 4.1 SR2

不受影响系统：

  Faust Informatics Freestyle Chat 4.1 SR3

描述：

---

BUGTRAQ  ID: 2776
CVE(CAN) ID: CVE-2001-0615

Faust Informatics 的 Freestyle 聊天服务器把交互式聊天功能结合到 web 服务器中。可以
到他们的主站: http://www.faust-net.de 了解有关信息。

Freestyle 聊天服务器的诸多版本容易受到目录遍历攻击。这使得远程用户可以访问普通的 web
服务器目录范围之外的文件。恰当地利用这个漏洞，可以为进一步的攻击提供有用的信息。

<* 来源：nemesystm (neme-dhc@hushmail.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

  比如在 web 浏览器中输入：

  http://www.example.com/.../.../scandisk.log

建议：

---

厂商补丁：

Chat server 4.1 SR3 这个升级版本中不再有这个漏洞。另外，也可以下载下面的补丁：

Faust Informatics patch fs_patch_px_p5_urgent.zip
http://shop.radiochat.net/redirfaust/downloads/fs_patch_px_p5_urgent.zip


浏览次数：3520
严重程度：0（网友投票）