发布日期：2002-02-12
更新日期：2002-02-12

受影响系统：

BAVO BAVO 0.3

不受影响系统：

BAVO BAVO 0.3.1

描述：

---

BUGTRAQ  ID: 4079
CVE(CAN) ID: CVE-2002-1719

Bavo是一个开放源代码的免费新闻组阅读程序。可运行于Unix/Linux及Windows等平台下。

Bavo软件包中存在一个漏洞，可能使远程攻击者可以编辑客户机上已经存在的消息邮件。

问题在于Bavo对输入的过滤不充分，远程攻击者通过检查Bavo的源码得知CGI的语法，可能对已经存档的消息进行修改。

<*来源：Floris Lambrechts
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要用Bavo浏览可疑邮件。

厂商补丁：

BAVO
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://friet.patat.org/~florizla/bavo/bavo-0.3.1.tgz

浏览次数：2908
严重程度：0（网友投票）