发布日期：2004-04-03
更新日期：2004-04-08

受影响系统：

MondoSoft MondoSearch 5.1
MondoSoft MondoSearch 5.0
MondoSoft MondoSearch 4.4

不受影响系统：

MondoSoft MondoSearch 5.1b

描述：

---

BUGTRAQ  ID: 10034

MondoSearch是一款由MondoSoft开发的网站搜索引擎。

MondoSearch应用程序存在多个漏洞，远程攻击者可以利用这些漏洞进行拒绝服务攻击，或获得敏感信息。

具体问题如下：

1）通过提交特殊构建的查询字符串给"MsmHigh.exe"，可用于把WEB服务器作为代理处理WEB请求。

2）通过访问"MsmChgPw.msk"文件，提交部分参数可获得用户的用户名。

3）"MsmHigh.exe"和"MsmLink.exe"进程每此接收到请求会装载一个新的自身实例，攻击者可通过多次请求消耗大量内存。

<*来源：Uffe Nielsen （uni@protego.dk）
  
  链接：http://secunia.com/advisories/11279/
*>

建议：

---

厂商补丁：

MondoSoft
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

MondoSoft Upgrade MondoSearch 5.1b
http://www.mondosoft.com/download/default.asp

浏览次数：2681
严重程度：0（网友投票）