Anaconda Foundation Directory远程目录遍历漏洞

漏洞信息详情

Anaconda Foundation Directory远程目录遍历漏洞

• CNNVD编号：CNNVD-200012-116
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2000-0975
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2000-10-13
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-16
  
• 厂        商：
  
  anaconda_partners
• 漏洞来源：
  pestilence※ pestil…

Anaconda Foundation Directory是一个基于开放目录项目(www.dmoz.org)类似Yahoo的搜索引擎。
Anaconda Foundation Directory存在漏洞，远程攻击者可以遍历目标主机的文件系统，获取服务器上的目录和文件内容。
脚本\’\’apexec.pl\’\’的\’\’template\’\’变量没有检查用户输入的数据，远程攻击者在请求的url里使用\’\’../\’\’技术和在文件扩展名后加null字节加\’\’.html\’\’就可以遍历目录访问任意文件。

厂商补丁：
Anaconda
——–
Anaconda Foundation Directory 1.5以上版本已经修复这个安全问题，请到厂商的主页下载：

http://anacondapartners.com/ap_afodpdemo.shtml” target=”_blank”>
http://anacondapartners.com/ap_afodpdemo.shtml

来源: BUGTRAQ
名称: 20001012 Anaconda Advisory
链接:http://archives.neohapsis.com/archives/bugtraq/2000-10/0210.html

来源: XF
名称: anaconda-apexec-directory-traversal
链接:http://xforce.iss.net/static/5750.php

来源: OSVDB
名称: 435
链接:http://www.osvdb.org/435