安全研究
安全漏洞
XMB Forum 1.6 Magic Lantern日志文件漏洞
发布日期:2002-05-11
更新日期:2002-05-15
受影响系统:
The XMB Group XMB Forum 1.6 Magic Lantern
描述:
BUGTRAQ ID:
4722
XMB Forum 1.6 Magic Lantern是一款基于WEB的论坛程序,可使用在多种Linux和Unix操作系统下。
XMB Forum 1.6 Magic Lantern存在漏洞,允许远程攻击者关闭日志记录功能。
XMB Forum 1.6 Magic Lantern通过判断index.php脚本中的"analized"变量是否为空来记录日志信息,攻击者可以提交任意字符串给index.php脚本中的"analized"变量,就可以绕过系统的日志记录功能。
另外日志文件(index_log.log和cplogfile.log)以不正确的权限建立,允许远程攻击者使用浏览器直接查看日志文件,获得敏感信息。
<*来源:frog frog (
leseulfrog@hotmail.com)
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
frog frog (
leseulfrog@hotmail.com)提供了如下测试方法:
/forumpath/index.php?analized=anything
建议:
临时解决方法:
厂商补丁:
The XMB Group
-------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.xmbforum.com/
浏览次数:73793
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |