Sun Cobalt RaQ目录遍历漏洞

漏洞信息详情

Sun Cobalt RaQ目录遍历漏洞

• CNNVD编号：CNNVD-200206-058
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0347
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-02-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-28
  
• 厂        商：
  
  sun
• 漏洞来源：
  Alex Hernandez※ al…

Sun Cobalt RaQ是ISPs使用的一种服务方软件。
据报告，Cobalt RaQ易受目录遍历漏洞攻击。比如
http：//10.0.0.1：81/.cobalt/sysManage/../admin/.htaccess
利用该漏洞，远程用户可以非法读取敏感文件，尚未得知是否可以遍历HTTP根目录之外的目录。

临时解决方法：
Peter N. Go ( peter@arachinc.com )建议使用.htaccess做如下限制：

Order allow,deny

Deny from all

不过攻击者仍有可能访问其它敏感文件。
厂商补丁：
Sun
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sun.com” target=”_blank”>
http://www.sun.com

来源: BID
名称: 4208
链接:http://www.securityfocus.com/bid/4208

来源: BUGTRAQ
名称: 20020228 Colbalt-RAQ-v4-Bugs&Vulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101495944202452&w=2

来源: XF
名称: cobalt-raq-directory-traversal(8322)
链接:http://www.iss.net/security_center/static/8322.php