发布日期：2001-08-24
更新日期：2001-08-24

受影响系统：

BadBlue BadBlue Personal Edition 1.02 beta
   - Microsoft Windows ME
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 3222
CVE(CAN) ID: CAN-2001-1140

BadBlue 是一个运行在Microsoft Windows系统下的小型基于web的文件共享工具。

它的1.02版中存在一个安全问题，由于没有过滤web请求中的一些特殊字符,可能导致泄漏
文件内容。攻击者只需在正常的文件请求后面增加一个%00字符，就可以获取此文件的内容。


<*来源：acz [iSecureLabs] (aurelien.cabezon@isecurelabs.com) *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

acz [iSecureLabs] (aurelien.cabezon@isecurelabs.com)提供了如下测试方法：

http://myBadBlue.com/test.php%00
http://myBadBlue.com/ext.dll%00

建议：

---

厂商补丁：

厂商将在1.5版中解决这个问题，我们建议使用此软件的用户随时关注厂商的主页以获取
最新版本：
http://badblue.com

浏览次数：3866
严重程度：0（网友投票）