发布日期：2001-01-30
更新日期：2002-01-04

受影响系统：

Matrix's CGI Vault Last Lines 2.0

描述：

---

BUGTRAQ  ID: 3755
CVE(CAN) ID: CVE-2001-1206

Last Lines CGI是一个免费的脚本，用Perl实现，由Matrix's CGI Vault维护。它可以使用户打印出Web日志文件尾部中某些指定的行。

Lastlines.cgi存在输入验证漏洞，可以使远程攻击者以httpd进程的权限在主机上执行任意命令。

问题代码：
# $unixdir="path/here";
# $error_log是用户输入的值

open(FILE, "$unix_dir/$error_log"


<*来源：BrainRawt （brainrawt@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0298.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止此程序的使用。

厂商补丁：

Matrix's CGI Vault
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.matrixvault.com/cgi/Last_Lines.shtml

浏览次数：2813
严重程度：0（网友投票）