发布日期：2002-02-22
更新日期：2002-03-06

受影响系统：

Essen Essentia Web Server 2.1
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 4160
CVE(CAN) ID: CVE-2002-0312

Essentia Web Server是种微软Windows环境下的多线程HTTP Server，由Essen开发、维护。

Essentia Web Server 2.1(可能包含其它版本)存在输入验证漏洞庭，允许远程攻击者查看服务器上任意文件。

Essentia没有充分过滤URL请求中的"../"序列，因此容易遭受目录遍历攻击。

<*来源：Tamer Sahin （ts@securityoffice.net）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0247.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞修补之前，暂时停止程序的使用。

厂商补丁：

Essen
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.essencomp.com/frmbuynow.asp?essentia

浏览次数：3102
严重程度：0（网友投票）