EServ可访问受口令保护的文件漏洞

漏洞信息详情

EServ可访问受口令保护的文件漏洞

• CNNVD编号：CNNVD-200203-098
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0112
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-01-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  etype
• 漏洞来源：
  Tamer Sahin※ ts@se…

EServ是一个组合了邮件、新闻组、Web、代理服务器的软件，运行于Windows 9x/NT/2000平台。
EServ存在设计问题，可以使远程攻击者非法访问到受口令保护的文件。
通过构造一个特别的HTTP请求发送给服务器，攻击者可能访问到受口令保护的目录及文件，比如管理员的目录，里面存放管理界面程序。这个漏洞只能被利用来访问受保护的Web目录下的子目录。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 把管理界面的目录设置成一个难以猜到名字。

* 在EServ中把”./”加入到零访问权限列表里。
厂商补丁：
Etype
—–
目前厂商已经提供了升级程序以修补这个漏洞，我们建议使用此软件的用户到厂商的主页获取最新版本：

EServ Upgrade Eserv3119.zip

ftp://ftp.eserv.ru/pub/beta/2.98/Eserv3119.zip

来源: BUGTRAQ
名称: 20020111 Eserv 2.97 Password Protected File Arbitrary Read Access Vulnerability (Solution)
链接:http://online.securityfocus.com/archive/1/249734

来源: XF
名称: eserv-protected-file-access(7849)
链接:http://www.iss.net/security_center/static/7849.php

来源: NTBUGTRAQ
名称: 20020109 Eserv 2.97 Password Protected File Arbitrary Read Access Vulnerability
链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=101062823505486&w=2

来源: VULNWATCH
名称: 20020109 Eserv 2.97 Password Protected File Arbitrary Read Access Vulnerability
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q1/0010.html

来源: BID
名称: 3838
链接:http://www.securityfocus.com/bid/3838

来源: BUGTRAQ
名称: 20020109 Eserv 2.97 Password Protected File Arbitrary Read Access Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101062172226812&w=2