ht://Dig htsearch CGI 存在安全漏洞
发布日期:2001-10-07
更新日期:2001-10-11
受影响系统:
不受影响系统:
ht://Dig htsearch CGI 3.2.0b3
ht://Dig htsearch CGI 3.1.5
ht://Dig htsearch CGI 3.1.0b2及以前版本
描述:
ht://Dig htsearch CGI 3.1.6
ht://Dig htsearch CGI 3.2.0b4
htsearch CGI既是一个CGI程序,也是一个命令行程序。命令行程序接受“-c
[filename]”参数来读取配置文件,同样,CGI程序也接受该命令行参数。但是
htsearch CGI没有对该参数进行任何过滤,通过指定一个设备文件,可能导致拒绝服务
攻击,通过指定一个Web Server可读的文件,可能泄露文件内容。
<*来源:Geoff Hutchison (ghutchis@wso.williams.edu)
参考:http://archives.neohapsis.com/archives/bugtraq/2001-10/0054.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Geoff Hutchison (ghutchis@wso.williams.edu)提供了如下测试代码:
http://your.host/cgi-bin/htsearch?-c/dev/zero
http://your.host/cgi-bin/htsearch?-c/path/to/my.file
建议:
厂商补丁:
下列版本以及更高版本已经解决了这个问题:
ht://Dig htsearch CGI 3.1.6
ht://Dig htsearch CGI 3.2.0b4
请到厂商的主页下载最新版本:
http://www.htdig.org/
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
