发布日期：2002-02-13
更新日期：2002-02-13

受影响系统：

BlueFace Falcon Web Server 2.0.0.1020
BlueFace Falcon Web Server 2.0.0.1009

不受影响系统：

BlueFace Falcon Web Server 2.0.0.1021

描述：

---

BUGTRAQ  ID: 4099
CVE(CAN) ID: CVE-2002-0275

Falcon Web Server是一个Windows系统下小型，高效的Web服务器程序。它被设计使用在小流量的桌面机器上。

Falcon程序实现上存在漏洞，可以使远程攻击者绕过服务器对用户访问的验证。

Falcon支持目录映射功能，用户访问需要得到主机的验证。远程攻击者可以在HTTP请求中，在要访问的受保护目录之前加上一个“/“字符，绕过服务器程序对其的验证。在低版本的Falcon软件中可能也有此漏洞。


<*来源：Strumpf Noir Society （vuln-dev@labs.secureance.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0131.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要在服务器上存放受限的敏感信息。

厂商补丁：

BlueFace
--------
目前厂商已经在Falcon Web Server 2.0.0.1021中修复了这个安全问题，请到厂商的主页下载：

http://www.blueface.com/products.html

浏览次数：2981
严重程度：0（网友投票）