John Roy Pi3Web存在文件泄露漏洞

漏洞信息详情

John Roy Pi3Web存在文件泄露漏洞

• CNNVD编号：CNNVD-200207-101
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0433
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-03-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-23
  
• 厂        商：
  
  pi3
• 漏洞来源：
  Tekno pHReak※ tek@…

John Roy Pi3Web是一款支持CGI和ISAPI的标准WEB服务程序，Pi3Web使用多线程处理系统请求，使用在Windows，Linux，Solaris系统平台上。
Pi3Web对用户输入没有很好的过滤，导致WEB可读文件泄露。
远程用户可以通过提交包含通配符并追加想要查看的文件类型后缀名请求，就可以获得此类相关扩展名的文件列表。
此问题在Microsoft windows操作平台下的版本得到证实，其他操作平台下的版本也应该存在此问题。必须注意的是Micorosft windows平台上的WEB服务器一般以SYSTEM的权利运行，导致攻击者可以以SYSTEM的权利查看文件。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时关闭Pi3Web服务。
厂商补丁：
John Roy
——–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://sourceforge.net/projects/pi3web/” target=”_blank”>
http://sourceforge.net/projects/pi3web/

来源: BID
名称: 4262
链接:http://www.securityfocus.com/bid/4262

来源: XF
名称: pi3web-asterisk-view-files(8429)
链接:http://www.iss.net/security_center/static/8429.php

来源: BUGTRAQ
名称: 20020310 Pi3Web/2.0.0 File-Disclosure/Path Disclosure vuln
链接:http://online.securityfocus.com/archive/1/260734