发布日期：2001-02-12
更新日期：2001-02-12

受影响系统：

SilverPlatter WebSPIRS 3.3.1
    - IBM AIX 4.3
    - Linux系统  
    - Microsoft Windows NT 4.0
    - Sun Solaris 8.0

不受影响系统：

SilverPlatter WebSPIRS 4.2
    - IBM AIX 4.3
SilverPlatter WebSPIRS 4.2
    - Linux系统  
SilverPlatter WebSPIRS 4.2
    - Microsoft Windows NT 4.0
SilverPlatter WebSPIRS 4.2
    - Sun Solaris 8.0

描述：

---

BUGTRAQ  ID: 2362
CVE(CAN) ID: CVE-2001-0211

WebSPIRS是SilverPlatter公司对WWW信息进行收集的系统，它有一个CGI程序webspirs.cgi用来对其的数据库进行搜索查询。

webspirs.cgi实现上存在一个输入验证漏洞，远程攻击者可能利用此漏洞遍历服务器目录，以Web服务的进程读取任意有权限读取的文件。

webspirs.cgi对用户输入未做充分过滤，远程攻击者可能在输入中混入“../”字串而导致脚本在处理时发生目录遍历，攻击者由此可以访问到任意其已知文件名的文件。


<*来源：UkR-XblP （cuctema@ok.ru）
  
  链接：http://cert.uni-stuttgart.de/archive/bugtraq/2001/02/msg00242.html
*>

建议：

---

厂商补丁：

SilverPlatter
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.silverplatter.com/erl/webspirs4.htm

浏览次数：3915
严重程度：0（网友投票）