发布日期：2000-10-30
更新日期：2000-10-30

受影响系统：

   Shigio Yamaguchi Global 3.55
   + NetBSD NetBSD 1.4.2
   + NetBSD NetBSD 1.4.1
   + NetBSD NetBSD 1.4

不受影响系统：

   Shigio Yamaguchi Global 4.01

描述：

---

Global 是包含在 NetBSD ports package 中的源码标签系统。3.55 及
早于 3.55 的版本中存在一个漏洞，这个漏洞容许攻击者远程执行命令。

问题发生在 CGI 接口处理被引用或者转义字符时。由于这个问题，恶意用
户可以传递一个特殊构造的字串给 CGI 程序，导致shell 命令被执行。

<* 来源：Shigio Yamaguchi (shigio@tamacom.com) *>




建议：

---

临时解决办法：

  NSFOCUS建议您把版本升级到 4.0.1。如果暂时不能升级，请按漏洞
  发现者建议的方法，采取如下临时措施：

    打开文件 HTML/cgi-bin/global.cgi，大约在 35 行附近，把
    原来的
                $pattern =~ s/'//g;
    改为：
                $pattern =~ s/"//g;

厂商补丁：

NetBSD upgrade Global
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/devel/global/README.html

Shigio Yamaguchi upgrade Global-4.0.1
http://www.tamacom.com/global/global-4.0.1.tar.gz

浏览次数：7652
严重程度：0（网友投票）