漏洞信息详情
Last Lines CGI脚本执行任意命令漏洞
- CNNVD编号:CNNVD-200112-147 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2001-1206
- 漏洞类型: 输入验证
- 发布时间: 2001-01-30
- 威胁类型: 远程
- 更新时间: 2007-03-30
- 厂 商: matrixs_cgi_vault
- 漏洞来源: BrainRawt※ brainra...
-
漏洞简介
Last Lines CGI是一个免费的脚本,用Perl实现,由Matrix\'\'s CGI Vault维护。它可以使用户打印出Web日志文件尾部中某些指定的行。 Lastlines.cgi存在输入验证漏洞,可以使远程攻击者以httpd进程的权限在主机上执行任意命令。 问题代码: # $unixdir=\"path/here\"; # $error_log是用户输入的值 open(FILE, \"$unix_dir/$error_log\"
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 暂时停止此程序的使用。 厂商补丁: Matrix's CGI Vault ------------------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.matrixvault.com/cgi/Last_Lines.shtml
参考网址
来源: BID 名称: 3755 链接:http://www.securityfocus.com/bid/3755 来源: BUGTRAQ 名称: 20011230 lastlines.cgi path traversal and command execution vulns 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=100975978324723&w=2
受影响实体
- Matrixs_cgi_vault Last_lines:2.0<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...