Matt Wright GuestBook远程执行任意命令漏洞

漏洞信息详情

Matt Wright GuestBook远程执行任意命令漏洞

• CNNVD编号：CNNVD-199909-026
• 危害等级： 高危
  
  
• CVE编号：
  CVE-1999-1053
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  1999-09-13
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-02-08
  
• 厂        商：
  
  apache
• 漏洞来源：
  Blue Boar※ BlueBoa…

GuestBook是一个由Matt Wright编写的基于Web的CGI留言本程序，使用比较广泛。
GuestBook实现上存在输入验证漏洞，远程攻击者可能利用此漏洞以Web进程的权限在主机上执行任意系统命令。
问题在于某些版本的guestbook.pl脚本允许用户输入SSI指令而未对用户输入进行仔细的过滤，这将允许攻击者以httpd进程的权限在主机上执行任意命令。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在漏洞修补之前暂时停止使用该软件。
厂商补丁：
Matt Wright
———–
程序作者已经在最新版本的软件中修补了这个完全漏洞，请到作者主页下载：

http://www.worldwidemart.com/scripts/readme/guestbook.shtml” target=”_blank”>
http://www.worldwidemart.com/scripts/readme/guestbook.shtml

来源: BID
名称: 776
链接:http://www.securityfocus.com/bid/776

来源: VULN-DEV
名称: 19990916 Re: Guestbook perl script (error fix)
链接:http://www.securityfocus.com/archive/82/27560

来源: VULN-DEV
名称: 19990913 Guestbook perl script (long)
链接:http://www.securityfocus.com/archive/82/27296

来源: BUGTRAQ
名称: 19991105 Guestbook.pl, sloppy SSI handling in Apache? (VD#2)
链接:http://www.securityfocus.com/archive/1/33674

来源：NSFOCUS
名称：3211
链接：http://www.nsfocus.net/vulndb/3211