首页 -> 安全研究

安全研究

安全漏洞
WebCalendar send_reminders.php远程文件包含漏洞

发布日期:2005-08-25
更新日期:2005-09-04

受影响系统:
WebCalendar WebCalendar 1.0.0
WebCalendar WebCalendar 1.0 RC3
WebCalendar WebCalendar 1.0 RC2
WebCalendar WebCalendar 1.0 RC1
不受影响系统:
WebCalendar WebCalendar 1.0.1
描述:
BUGTRAQ  ID: 14651
CVE(CAN) ID: CVE-2005-2717

WebCalendar是一款PHP编写的基于WEB的日历程序,可运行在多种Unix和Linux操作系统下。

WebCalendar中存在远程文件包含漏洞,攻击者可以利用这个漏洞在目标系统上执行任意服务器端脚本。

起因是没有正确过滤用户输入。

<*来源:WebCalendar
  
  链接:http://sourceforge.net/project/shownotes.php?release_id=350336
        http://www.debian.org/security/2005/dsa-799
*>

建议:
厂商补丁:

Debian
------
Debian已经为此发布了一个安全公告(DSA-799-1)以及相应补丁:
DSA-799-1:New webcalendar packages fix remote code execution
链接:http://www.debian.org/security/2005/dsa-799

补丁下载:
Source archives:

http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge2.diff.gz
Size/MD5 checksum:     9908 ae927afd627778637759df5f2e4e8336
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge2.dsc
Size/MD5 checksum:      725 0e765e2795bba3a7ccaedea569f2475c
http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45.orig.tar.gz
Size/MD5 checksum:   612360 a6a66dc54cd293429b604fe6da7633a6

Architecture independent packages:

http://security.debian.org/pool/updates/main/w/webcalendar/webcalendar_0.9.45-4sarge2_all.deb
Size/MD5 checksum:   627470 1206a45774cad65c0b2b85bdc48a2d53

补丁安装方法:

1. 手工安装补丁包:

  首先,使用下面的命令来下载补丁软件:
  # wget url  (url是补丁下载链接地址)

  然后,使用下面的命令来安装补丁:  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包:

   首先,使用下面的命令更新内部数据库:
   # apt-get update
  
   然后,使用下面的命令安装更新软件包:
   # apt-get upgrade

WebCalendar
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://prdownloads.sourceforge.net/webcalendar/WebCalendar-1.0.1.tar.gz?download

浏览次数:5110
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客