发布日期：2002-05-11
更新日期：2002-05-15

受影响系统：

The XMB Group XMB Forum 1.6 Magic Lantern

描述：

---

BUGTRAQ  ID: 4722

XMB Forum 1.6 Magic Lantern是一款基于WEB的论坛程序，可使用在多种Linux和Unix操作系统下。

XMB Forum 1.6 Magic Lantern存在漏洞，允许远程攻击者关闭日志记录功能。

XMB Forum 1.6 Magic Lantern通过判断index.php脚本中的"analized"变量是否为空来记录日志信息，攻击者可以提交任意字符串给index.php脚本中的"analized"变量，就可以绕过系统的日志记录功能。

另外日志文件（index_log.log和cplogfile.log）以不正确的权限建立，允许远程攻击者使用浏览器直接查看日志文件，获得敏感信息。

<*来源：frog frog （leseulfrog@hotmail.com）
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

frog frog （leseulfrog@hotmail.com）提供了如下测试方法：

/forumpath/index.php?analized=anything



建议：

---

临时解决方法：



厂商补丁：

The XMB Group
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.xmbforum.com/



浏览次数：73793
严重程度：0（网友投票）