发布日期：2002-10-16
更新日期：2002-10-17

受影响系统：

www.freeware.lt WebServer 4 Everyone 1.27
www.freeware.lt WebServer 4 Everyone 1.23

描述：

---

CVE(CAN) ID: CVE-2002-1213

WebServer 4 Everyone服务程序是由RadioBird Software开发和维护的功能强大、安装维护方便的WEB服务程序，设计用于Microsoft Windows操作系统。

WebServer 4 Everyone服务程序对用户提交的包含特殊编码的URL请求缺少正确处理，远程攻击者可以利用这个漏洞进行目录遍历，以WEB进程的权限在系统上查看任意文件内容。

WebServer 4 Everyone服务程序对以十六进制(%2F)代表"/"字符的WEB请求缺少正确过滤，攻击者提交包含多个(%2F)的WEB请求以WEB进程的权限在系统上查看任意文件内容。包括如WinNT中的sam文件，造成敏感信息泄露。

<*来源：David Endler （dendler@idefense.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103471544806141&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时使用防火墙限制WebServer 4 Everyone的WEB服务，只允许可信用户访问。

厂商补丁：

www.freeware.lt
---------------
下载使用WebServer 4 Everyone 1.30版本：

ftp://ftp.freeware.lt/anonymous/Soft/w4asetup.exe

浏览次数：2788
严重程度：0（网友投票）