Martin Hamilton ROADS可远程察看系统文件内容漏洞

漏洞信息详情

Martin Hamilton ROADS可远程察看系统文件内容漏洞

• CNNVD编号：CNNVD-200106-020
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2001-0215
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2001-02-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  martin_hamilton
• 漏洞来源：
  UkR-XblP※ cuctema@…

Martin Hamilton ROADS是由Martin Hamilton用PERL编写的一个搜索引擎。
ROADS的一个文件存在安全问题，可能会泄露系统文件的内容。
search.pl是ROADS的一个组成部分，向用户提供ROADS数据库搜索服务，如果没有提交CGI查询，该脚本返回一个HTML Form，让用户填写并提交CGI查询。这个Form可以由SBIG管理员设计，包含一些可选项，缺省安装后的这个Form位于ROADS配置目录下。由于设计上的错误，通过form指定任意一个以\\%00结尾的文件名，search.pl脚本将返回该文件的内容。任何支持PERL脚本的系统都潜在存在该漏洞。

厂商补丁：
Martin Hamilton
—————
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Martin Hamilton has addressed this issue in ROADS 2.4 and has also released a patch for ROADS 2.3:

下载Martin Hamilton ROADS 2.3的补丁:

ftp://ftp.roads.lut.ac.uk/roads/patch-v2.3-1

或者安装不受影响的Martin Hamilton Upgrade roads 2.4：

ftp://ftp.roads.lut.ac.uk/roads/roads-v2.4.tar.gz

来源: BID
名称: 2371
链接:http://www.securityfocus.com/bid/2371

来源: www.roads.lut.ac.uk
链接:http://www.roads.lut.ac.uk/lists/open-roads/2001/02/0001.html

来源: BUGTRAQ
名称: 20010212 ROADS search system “show files” Vulnerability with “null bite” bug
链接:http://archives.neohapsis.com/archives/bugtraq/2001-02/0213.html

来源: XF
名称: roads-search-view-files(6097)
链接:http://xforce.iss.net/static/6097.php