发布日期：2002-12-31
更新日期：2003-01-07

受影响系统：

Perl-HTTPd Perl-HTTPd 1.0.1
Perl-HTTPd Perl-HTTPd 1.0

不受影响系统：

Perl-HTTPd Perl-HTTPd 1.0.2

描述：

---

BUGTRAQ  ID: 6497

Perl-HTTPd是一款由PERL编写的简易的WEB服务程序。

Perl-HTTPd没有正确过滤部分恶意WEB请求，远程攻击者可以利用这个漏洞以WEB权限在系统上查看任意文件信息。

由于Perl-HTTPd对'../'字符缺少正确过滤，远程攻击者可以提交多个包含'../'字符的WEB请求，可绕过HTTP ROOT目录限制，以WEB进程权限在系统上查看任意文件，造成信息泄露，利用这些信息可以进一步对系统进行攻击。

<*来源：Perl-HTTPd
  *>

建议：

---

厂商补丁：

Perl-HTTPd
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Perl-HTTPd Upgrade perl-httpd-1.0.2.tar.gz                      
http://citrustech.net/~chrisj/perl-httpd/perl-httpd-1.0.2.tar.gz

浏览次数：3382
严重程度：0（网友投票）