发布日期：1998-05-16
更新日期：1998-05-16

受影响系统：

SysAdmin Magazine man.sh 1.0

描述：

---

BUGTRAQ  ID: 2276

man.sh是SysAdmin Magazine中提供的一个脚本，用来把手册页实时转换为html文件，并可以通过Web访问到。

早期版本的man.sh脚本实现上存在输入验证漏洞，远程攻击者可以利用此漏洞以Web服务进程的权限在主机上执行任意命令。

问题在于脚本对用户输入未进行充分过滤，导致远程攻击者可以通过构造特殊输入使用主机执行任意命令。

<*来源：Robert Moniot （moniot@pascal.dsm.fordham.edu）
  
  链接：http://online.securityfocus.com/bid/2276
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果不需要使用man.sh脚本，去除此脚本的执行权限或删除之。

厂商补丁：

SysAdmin Magazine
-----------------
厂商已经在最新版的脚本中修补了此漏洞，请到厂商的主页下载：

http://freeware.webcom.se/

浏览次数：21611
严重程度：0（网友投票）