发布日期：2003-12-17
更新日期：2003-12-23

受影响系统：

GoAhead Software GoAhead WebServer 2.1.7
GoAhead Software GoAhead WebServer 2.1.6
GoAhead Software GoAhead WebServer 2.1.5
GoAhead Software GoAhead WebServer 2.1.4
GoAhead Software GoAhead WebServer 2.1.3
GoAhead Software GoAhead WebServer 2.1.2
GoAhead Software GoAhead WebServer 2.1.1
GoAhead Software GoAhead WebServer 2.1
GoAhead Software GoAhead WebServer 2.0

不受影响系统：

GoAhead Software GoAhead WebServer 2.1.8

描述：

---

BUGTRAQ  ID: 9239
CVE(CAN) ID: CVE-2002-1603

GoAhead WebServer是一款开放源代码的嵌入式WEB服务器程序，支持Active Server Pages，嵌入式Javascript，SSL验证和加密，广泛使用在Microsoft Windows和Linux操作系统下。

GoAhead WebServer未能充分过滤HTTP请求，远程攻击者可以利用这个漏洞获得ASP脚本代码的源代码信息。

GoAhead WebServer支持ASP文件的执行，攻击者通过在ASP文件后增加部分URL编码字符，如'%00, %2f, %5c, /'，就会导致服务程序返回包含源代码数据的信息给攻击者。攻击者利用这些信息可进一步对系统进行攻击。

<*来源：Luigi Auriemma （aluigi@pivx.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107167938114025&w=2
*>

建议：

---

厂商补丁：

GoAhead Software
----------------
目前厂商已经在2.1.8版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://www.goahead.com/webserver/webserver.htm

浏览次数：4093
严重程度：0（网友投票）