安全研究
安全漏洞
ht://Dig htsearch CGI 存在安全漏洞
发布日期:2001-10-07
更新日期:2001-10-11
受影响系统:
ht://Dig htsearch CGI 3.2.0b3
ht://Dig htsearch CGI 3.1.5
ht://Dig htsearch CGI 3.1.0b2及以前版本
不受影响系统:
ht://Dig htsearch CGI 3.1.6
ht://Dig htsearch CGI 3.2.0b4
描述:
htsearch CGI既是一个CGI程序,也是一个命令行程序。命令行程序接受“-c
[filename]”参数来读取配置文件,同样,CGI程序也接受该命令行参数。但是
htsearch CGI没有对该参数进行任何过滤,通过指定一个设备文件,可能导致拒绝服务
攻击,通过指定一个Web Server可读的文件,可能泄露文件内容。
<*来源:Geoff Hutchison (
ghutchis@wso.williams.edu)
参考:
http://archives.neohapsis.com/archives/bugtraq/2001-10/0054.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Geoff Hutchison (
ghutchis@wso.williams.edu)提供了如下测试代码:
http://your.host/cgi-bin/htsearch?-c/dev/zero
http://your.host/cgi-bin/htsearch?-c/path/to/my.file
建议:
厂商补丁:
下列版本以及更高版本已经解决了这个问题:
ht://Dig htsearch CGI 3.1.6
ht://Dig htsearch CGI 3.2.0b4
请到厂商的主页下载最新版本:
http://www.htdig.org/
浏览次数:3649
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |