发布日期：2002-03-28
更新日期：2002-04-02

受影响系统：

WWWIsis WWWIsis 3.45

描述：

---

BUGTRAQ  ID: 4383
CVE(CAN) ID: CVE-2002-0508

WWWIsis是为访问ISIS数据库提供WEB接口的程序，运行在Unix和Linux系统下，也可以运行在Microsoft Windows操作系统下。

WWWIsis在对用户输入缺少充分检查，可导致远程攻击者以httpd进程的权限在目标系统上执行任意命令。

WWWIsis中的格式语言功能过于强大，攻击者可以通过更改PATH_INFO信息而导致以httpd进程的权限执行任意命令。

此问题在Linux系统上测试成功，JavaISIS和其他基于WWWIsis的工具也存在此漏洞。

<*来源：Klaus Ripke （krip@openisis.org）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0348.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对服务端口设置访问过滤，确信只有合法可信用户能够连接访问。

厂商补丁：

WWWIsis
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.bireme.br/isis/I/wwwi.htm

浏览次数：2941
严重程度：0（网友投票）