安全研究
安全漏洞
Marcus Xenakis manual.php远程执行任意命令漏洞
发布日期:2001-12-18
更新日期:2001-12-25
受影响系统:Marcus S. xenakis Unix Manual 1.0
- Unix系统
描述:
BUGTRAQ ID:
3718
CVE(CAN) ID:
CVE-2001-1214
“Unix Manual”是Marcus S. xenakis写的PHP脚本,它可以使用户通过Web查看UNIX的手册页。
“Unix Manual”的一个脚本manual.php存在漏洞,可以使攻击者以httpd进程的权限在主机上执行任意命令。
manual.php对用户输入未做充分过滤就把它传递给shell命令,攻击者通过在输入中插入某些shell元字符提交给manual.php,可以在主机上以httpd进程的权限执行任意命令。
<*来源:Florian Hobelsberger (
genius28@gmx.de)
链接:
http://archives.neohapsis.com/archives/bugtraq/2001-12/0162.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在漏洞修补之前,暂停此程序的使用。
* 修改manual.php,过滤用户输入中包含的shell元字符。
厂商补丁:
Marcus S. xenakis
-----------------
程序作者未提供补丁。
浏览次数:2956
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |