Ultimate PHP Board Add.PHP安装绝对路径泄露漏洞
发布日期:2002-12-07
更新日期:2002-12-12
受影响系统:Ultimate PHP Board Ultimate PHP Board 1.0 final beta
描述:
BUGTRAQ ID:
6333
Ultimate PHP Board (UPB)是一款由PHP编写的免费开放源代码公告板程序,可使用在Unix和Linux操作系统下。
Ultimate PHP Board的add.php没有正确检查用户提交的不正规请求,远程攻击者可以利用这个漏洞获得脚本绝对路径信息。
攻击者可以直接访问add.php脚本,服务器会返回如下错误信息:
================================================================
Warning: Failed opening 'textdb_v2.inc.php' for inclusion
(include_path='.:/usr/local/lib/php') in
/home/samcom/public_html/public/messageboard2/add.php on line 5
attempting to edit record...
Fatal error: Call to undefined function: format_field() in
/home/samcom/public_html/public/messageboard2/add.php on line 11
================================================================
利用这些信息,可以帮助攻击者进一步对系统进行攻击。
<*来源:euronymous (
just-a-user@yandex.ru)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103930502429047&w=2
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 修改php.ini配置文件,设置display_errors = Off关闭错误显示,然后重启Web服务器。
厂商补丁:
Ultimate PHP Board
------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.webrc.ca/php/upb.php浏览次数:3038
严重程度:0(网友投票)