漏洞信息详情
PerlCal远程目录遍历漏洞
- CNNVD编号:CNNVD-200106-137
- 危害等级: 中危
- CVE编号:
CVE-2001-0463
- 漏洞类型:
未知
- 发布时间:
2001-04-27
- 威胁类型:
远程
- 更新时间:
2006-08-03
- 厂 商:
acme_labs - 漏洞来源:
Stan a.k.a. ThePik… -
漏洞简介
PerlCal是Acme Software开发的CGI脚本,提供基于WEB的日历功能。
PerlCal脚本存在漏洞,没有很好检查用户输入的数据,远程攻击者可以利用\”../\”技术遍历WEB根目录之外的其他目录,仅受WEB服务当前所拥有用户权限的限制。通常情况下,WEB服务以nobody用户身份运行。
漏洞公告
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 暂时用chmod 000去除PerlCal的执行权限。
厂商补丁:
Acme Software
————-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.perlcal.com/” target=”_blank”>
http://www.perlcal.com/
参考网址
来源: BID
名称: 2663
链接:http://www.securityfocus.com/bid/2663
来源: BUGTRAQ
名称: 20010427 PerlCal (CGI) show files vulnerability
链接:http://archives.neohapsis.com/archives/bugtraq/2001-04/0506.html
来源: XF
名称: perlcal-calmake-directory-traversal(6480)
链接:http://xforce.iss.net/static/6480.php
来源: www.perlcal.com
链接:http://www.perlcal.com/calendar/docs/bugs.txt