Last Lines CGI脚本执行任意命令漏洞

漏洞信息详情

Last Lines CGI脚本执行任意命令漏洞

漏洞简介

Last Lines CGI是一个免费的脚本,用Perl实现,由Matrix\’\’s CGI Vault维护。它可以使用户打印出Web日志文件尾部中某些指定的行。
Lastlines.cgi存在输入验证漏洞,可以使远程攻击者以httpd进程的权限在主机上执行任意命令。
问题代码:
# $unixdir=\”path/here\”;
# $error_log是用户输入的值
open(FILE, \”$unix_dir/$error_log\”

漏洞公告

临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 暂时停止此程序的使用。
厂商补丁:
Matrix’s CGI Vault
——————
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.matrixvault.com/cgi/Last_Lines.shtml” target=”_blank”>
http://www.matrixvault.com/cgi/Last_Lines.shtml

参考网址

来源: BID
名称: 3755
链接:http://www.securityfocus.com/bid/3755

来源: BUGTRAQ
名称: 20011230 lastlines.cgi path traversal and command execution vulns
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=100975978324723&w=2

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享