正文

Puppet_Master Webutil 'webutil.pl'远程whois指令执行漏洞

admin
admin V管理员 /0 评论 /4 阅读
0105
此篇文章发布距今已超过1228天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Puppet_Master Webutil 'webutil.pl'远程whois指令执行漏洞

  • CNNVD编号:CNNVD-200903-514
    • <!--
  • 危害等级: 超危-->
  • 危害等级: 超危
  • CVE编号: CVE-2008-6556
  • 漏洞类型: 输入验证
  • 发布时间: 2009-03-30
  • 威胁类型: 远程
  • 更新时间: 2009-04-18
  • 厂        商: puppet_master
  • 漏洞来源: Zero X

漏洞简介

WebUtil是一个简单易用的网络工具,能够通过浏览器显示如ping,traceroute,WHOIS查询,主机上线时间,日历,DNS查询,主机,Nslookup等标准网络及主机信息。

Puppet Master WebUtil 2.3版本中的cgi-bin/webutil.pl允许远程攻击者借助whois指令中的shell元字符,执行任意指令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://www.vclcomponents.com/CGI_PERL/Networking_Tools/Combinations/WebUtil-info.html

参考网址

来源: XF

名称: webutil-whois-command-execution(49820)

链接: http://xforce.iss.net/xforce/xfdb/49820

来源: XF

名称: webutil-shell-command-execution(41400)

链接: http://xforce.iss.net/xforce/xfdb/41400

来源: BID

名称: 28393

链接: http://www.securityfocus.com/bid/28393

来源: BUGTRAQ

名称: 20080321 webutil.pl is still vulnerable against Remote Command Execution.

链接: http://www.securityfocus.com/archive/1/archive/1/489961/100/0/threaded

来源: OSVDB

名称: 51181

链接: http://osvdb.org/51181

受影响实体

  • Puppet_master Webutil:2.3  
    <!--
    2000-1-1
    -->

补丁

    暂无