发布日期：2003-02-18
更新日期：2003-02-26

受影响系统：

Visual Mining, inc Netcharts XBRL Server 4.0

描述：

---

BUGTRAQ  ID: 6877

NetCharts XBRL Server是一款数据可视化服务，可以把数据生成图表、图形、报告等信息。

Netcharts服务器不正确处理非法分块编码HTTP请求，远程攻击者可以利用这个漏洞获得服务器部分敏感信息。

Netcharts服务器对非法分块编码的查询应答存在不可预料的不同步行为，攻击者连接目标机器，提交多个恶意请求，可使服务器返回部分敏感信息，利用这些信息可对系统进行进一步攻击。

<*来源：Tamer Sahin （ts@securityoffice.net）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104557849814768&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Tamer Sahin （ts@securityoffice.net）提供了如下测试方法：

==================== SNIP ====================

GET /index.jsp HTTP/1.1
Host: victim.com
Transfer-Encoding: Chunked

53636f7474

==================== SNIP ====================

建议：

---

厂商补丁：

Visual Mining, inc
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.visualmining.com/index.html

浏览次数：2793
严重程度：0（网友投票）