发布日期：2002-02-21
更新日期：2002-02-25

受影响系统：

Summit Computer Networks Lil' HTTP Server 2.1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 4153
CVE(CAN) ID: CVE-2002-0304

Lil' HTTP是一个小巧高效的HTTP服务器程序，就一个单独的EXE执行文件，提供了服务端包含和CGI支持等功能。

Lil' HTTP实现上存在漏洞，远程攻击者可以绕过口令认证访问到一些受保护的文件和目录。

通过构造特别的URL给Lil' HTTP服务器程序，远程攻击者可以访问到已知文件名的受保护的文件和目录。

<*来源：Tamer Sahin （ts@securityoffice.net）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0235.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要在服务器上存入敏感资料。

厂商补丁：

Summit Computer Networks
------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.summitcn.com

浏览次数：3161
严重程度：0（网友投票）