安全研究
安全漏洞
WWWIsis文件泄露漏洞
发布日期:2002-03-28
更新日期:2002-04-02
受影响系统:WWWIsis WWWIsis 3.45
描述:
BUGTRAQ ID:
4384
CVE(CAN) ID:
CVE-2002-0508
WWWIsis是为访问ISIS数据库提供WEB接口的程序,运行在Unix和Linux系统下,也可以运行在Microsoft windows操作系统下。
WWWIsis在对用户输入缺少正确充分检查,可导致攻击者以httpd进程的权限查看目标系统上的任意文件内容。
WWWIsis中的格式语言功能过于强大,攻击者可以通过更改PATH_INFO信息而导致以httpd进程的权限查看目标系统上的任意文件内容。
此问题在Linux系统上测试成功,JavaISIS和其他基于WWWIsis的工具也存在此漏洞。
<*来源:Klaus Ripke (
krip@openisis.org)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-03/0348.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 对服务端口设置访问过滤,确信只有合法可信用户能够连接访问。
厂商补丁:
WWWIsis
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.bireme.br/isis/I/wwwi.htm浏览次数:2962
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |