发布日期：2001-06-27
更新日期：2001-07-03

受影响系统：

Gnu Gnatsweb 3.95 GNATS 4
GNU Gnatsweb 2.8.1
GNU Gnatsweb 2.8
GNU Gnatsweb 2.7 beta

描述：

---

BUGTRAQ ID : 2938

Gnatsweb是一个GNU bug管理系统'Gnats'的web管理接口。在最新版笨重，它增加了一个
帮助系统。
标准帮助文件通过文件"gnatsweb.html"来提供。出于某些原因的考虑，Gnatsweb允许定
制这个帮助文件的名字，用户可以通过提供给"help_file"参数一个值来指定其他的帮助
文件。例如,下面的URL:

http://www.whatever.whatever/cgi-bin/gnatsweb.pl?cmd=help&help_file=somefile.html

将会使somfile.html作为帮助文件被显示。
然而，gnatsweb.pl没有对此文件名进行足够的安全检查就将其传递给open()调用，这可能
导致远程攻击者可以用httpd daemon运行身份读取任意文件或执行任意命令。

<*来源：Joost Pol (joost@contempt.nl) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://TARGET/cgi-bin/gnatsweb.pl?cmd=help&help_file=../../../../../etc/passwd
http://TARGET/cgi-bin/gnatsweb.pl?cmd=help&help_file=../../../../../bin/uname|


建议：

---

厂商补丁：

厂商已经提供了各个版本的补丁程序：


GNU Gnatsweb 2.8.1:

http://sources.redhat.com/gnats/gnatsweb/patches/gw281fileopen.diff

GNU Gnatsweb 2.8:

http://sources.redhat.com/gnats/gnatsweb/patches/gw280fileopen.diff

GNU Gnatsweb 2.7 beta:

http://sources.redhat.com/gnats/gnatsweb/patches/gw27bfileopen.diff



浏览次数：3540
严重程度：0（网友投票）