发布日期：2002-03-12
更新日期：2002-03-17

受影响系统：

Black Tie Project Black Tie Project 0.5b

描述：

---

BUGTRAQ  ID: 4275
CVE(CAN) ID: CVE-2002-0446

Black Tie Porject (BTP)是一款基于PHP的系统构建程序，设计用来模块化构建系统，允许用户方便和可定制化的增加额外模块。BTP是一款法语项目。

Black Tie Porject (BTP)对不存在的页面请求处理不正确，可导致wwwroot目录路径泄露。

远程用户可以提交一个不存在的页面给Black Tie Porject (BTP)服务程序，使Black Tie Porject (BTP)返回错误信息并显示wwwroot目录的绝对路径。

此信息泄露可帮助攻击者进一步对系统进行攻击。

<*来源：Ahmet Sabri ALPER （s_alper@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0117.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在categorie.php3中插入如下判断语句如：

if ($requested_cat_number == "") {
die ("Categorie number not found!");
}
else {
// the original script functions
}

厂商补丁：

Black Tie Project
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://trans.voila.fr/ano?anolg=65544&anourl=http%3A%2F%2Fbtp.logiciel-fr.com%2Findex.php3#

浏览次数：2945
严重程度：0（网友投票）