发布日期：2002-06-07
更新日期：2002-06-12

受影响系统：

Craig Knudsen WebCalendar 0.9.34
Craig Knudsen WebCalendar 0.9.33
Craig Knudsen WebCalendar 0.9.32
Craig Knudsen WebCalendar 0.9.31

不受影响系统：

Craig Knudsen WebCalendar 0.9.35

描述：

---

BUGTRAQ  ID: 4961
CVE(CAN) ID: CVE-2002-2065

WebCalendar是一款PHP编写的基于WEB的日历程序，可单人或者多人进行日历维护，可运行在多种Unix和Linux操作系统下。

WebCalendar存在'.inc'扩展文件，可导致远程攻击者通过请求此类文件获得系统敏感信息。

WebCalendar默认安装后，在web root目录中会包含以'.inc'为扩展名的文件，此类文件包含系统敏感信息，由于这些文件没有通过PHP解析器处理，可导致攻击者直接请求此类文件而获得系统应用相关的敏感信息，攻击者可以通过这些信息进一步对系统进行攻击。

<**>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 配置WEB服务程序对以'.inc'结尾的文件不进行输出或者更改'.inc'扩展名为'.inc.php'使的PHP解析程序可以处理。

厂商补丁：

Craig Knudsen
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Craig Knudsen Upgrade WebCalendar-0.9.35.tar.gz
http://prdownloads.sourceforge.net/webcalendar/WebCalendar-0.9.35.tar.gz?download

浏览次数：2890
严重程度：0（网友投票）