发布日期：2000-10-04
更新日期：2000-10-04

受影响系统：

Acme thttpd 2.19
Acme thttpd 2.18
Acme thttpd 2.17
Acme thttpd 2.16

不受影响系统：

Acme thttpd 2.20

描述：

---

Acme thttpd HTTP服务器包含一个叫做“ssi"的CGI程序，在某些HTTP进程中提供内置server-side-includes功能。

通过PATH_TRANSLATE环境变量，ssi脚本过滤的文件名传递到ssi。ssi并没有恰当地过滤某些转义符。其结果造成通过提交恶意URLs（使用十六进制转义符".."来绕过过滤），恶意攻击者可以浏览web服务器上的可以定位的任意文件。

来源： <ghandi@mindless.com>


建议：

---

升级到thttpd 2.20

http://www.acme.com/software/thttpd/thttpd-2.20.tar.gz



浏览次数：5989
严重程度：0（网友投票）