发布日期：2001-12-18
更新日期：2001-12-25

受影响系统：

Marcus S. xenakis Unix Manual 1.0
    - Unix系统

描述：

---

BUGTRAQ  ID: 3718
CVE(CAN) ID: CVE-2001-1214

“Unix Manual”是Marcus S. xenakis写的PHP脚本，它可以使用户通过Web查看UNIX的手册页。

“Unix Manual”的一个脚本manual.php存在漏洞，可以使攻击者以httpd进程的权限在主机上执行任意命令。

manual.php对用户输入未做充分过滤就把它传递给shell命令，攻击者通过在输入中插入某些shell元字符提交给manual.php，可以在主机上以httpd进程的权限执行任意命令。

<*来源：Florian Hobelsberger （genius28@gmx.de）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0162.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞修补之前，暂停此程序的使用。

* 修改manual.php，过滤用户输入中包含的shell元字符。

厂商补丁：

Marcus S. xenakis
-----------------
程序作者未提供补丁。

浏览次数：2956
严重程度：0（网友投票）