Matt Tourtillott nph-maillist远程执行任意命令漏洞

漏洞信息详情

Matt Tourtillott nph-maillist远程执行任意命令漏洞

• CNNVD编号：CNNVD-200107-019
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-0400
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-04-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-28
  
• 厂        商：
  
  matt_tourtillott
• 漏洞来源：
  Kanedaaa Bohater※ …

nph-maillist是一个用来处理邮件列表的Perl CGI脚本，通常用来通知对网站更新感兴趣的用户。

nph-maillist实现上存在输入验证漏洞，远程攻击者可以利用此漏洞在主机上以Web服务进程的权限执行任意命令。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 编辑修改nph-maillist.pl脚本，加入几行过滤代码

if ($FORM{’emailaddress’} =~ /\;/) { &bad_email();}

if ($FORM{’emailaddress’} =~ /\`/) { &bad_email();}

厂商补丁：

Matt Tourtillott

—————-

作者已经在最新版本的软件中修补了此安全漏洞，请到作者的主页下载：

http://www.marketrends.net/maillist/” target=”_blank”>

http://www.marketrends.net/maillist/

来源: BID

名称: 2563

链接:http://www.securityfocus.com/bid/2563

来源: BUGTRAQ

名称: 20010410 CGI – nph-maillist.pl vulnerability…

链接:http://www.securityfocus.com/archive/1/175506