安全研究
安全漏洞
Les VanBrunt AdRotate Pro SQL命令注入漏洞
发布日期:2001-12-23
更新日期:2001-12-30
受影响系统:Les VanBrunt AdRotate Pro
- Unix系统
描述:
BUGTRAQ ID:
3739
CVE(CAN) ID:
CVE-2001-1224
AdRotate Pro是一个免费的Perl脚本包,用来在网页上轮换放置广告条。它包括管理工具,后台使用MySQL驱动。
AdRotate Pro存在输入验证漏洞,可以使远程攻击者非法操作数据库。
软件包中有一个adrotate.pm的模块,其中的“get_input”过程来处理客户端的输入,结果放在‘in’关联数组里。AdRotate脚本用‘in’中的值构造SQL语句而不对值进行合法性检查。这样使通过SQL命令注入的手段非法操作数据库的内容成为可能。因为一些数据库的内容会直接在shell命令中被使用到,这最终会导致以httpd进程的身份在主机上执行任意命令。
<*来源:GOBBLES (
gobbles@hushmail.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2001-12/0247.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 在漏洞修补之前,暂停此程序的使用。
厂商补丁:
Les VanBrunt
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.vanbrunt.com/adrotate/浏览次数:3011
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |