发布日期：2004-03-30
更新日期：2004-04-07

受影响系统：

Interchange Interchange 5.0
Interchange Interchange 4.8.9
Interchange Interchange 4.8.8
Interchange Interchange 4.8.7
Interchange Interchange 4.8.6
Interchange Interchange 4.8.5
Interchange Interchange 4.8.4
Interchange Interchange 4.8.2
Interchange Interchange 4.8.1
Interchange Interchange 4.8.3
    - Debian Linux 3.0

不受影响系统：

Interchange Interchange 5.0.1

描述：

---

BUGTRAQ  ID: 10005
CVE(CAN) ID: CVE-2004-0374

Interchange是一个电子商务和应用服务器系统，它使用户可以非常方便的构建一个基于数据库的Web服务器以及在线应用。

Interchange不正确处理部分URI请求，远程攻击者可以利用这个漏洞获得任意变量信息，造成敏感信息泄露。

直接提交cgi-bin目录中的"__SQLUSER__"请求，可获得大量变量信息，利用这些信息，攻击者可进一步对系统进行攻击。

<*来源：Interchange
  
  链接：http://ftp.icdevgroup.org/interchange/5.0/WHATSNEW
        http://www.debian.org/security/2004/dsa-471
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2004/dsa-471

Interchange
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Interchange Upgrade Interchange 5.0.1
http://www.icdevgroup.org/i/dev/download.html

浏览次数：3165
严重程度：0（网友投票）