Infobot fortran 数学函数执行任意命令漏洞

漏洞信息详情

Infobot fortran 数学函数执行任意命令漏洞

• CNNVD编号：CNNVD-200106-048
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2001-0225
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-02-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  lenzo
• 漏洞来源：

CVE(CAN) ID： CAN-2001-0225

Infobot是一个免费开放源码的IRC bot，用于自动化频道管理，最初由Kevin Lenzo

开发，目前由Infobot Development Team继续维护。

Infobot的fortran数学函数通过echo命令传递用户输入到bc命令进行某些计算工作，

并返回结果。但是这个过程中没有充分过滤shell元字符，比如单引号和分号，最终

可能导致以infobot身份执行任意系统命令。

＜* 来源：Samy Kamkar [CommPort5] (CommPort5@LucidX.com) *＞

厂商补丁：

暂无

来源: BUGTRAQ
名称: 20010207 Infobot 0.44.5.3/below remotely vulnerable (also in FreeBSD ports tree)
链接:http://archives.neohapsis.com/archives/bugtraq/2001-02/0127.html

来源: BID
名称: 2349
链接:http://www.securityfocus.com/bid/2349