Black Tie Project存在路径泄露漏洞

漏洞信息详情

Black Tie Project存在路径泄露漏洞

• CNNVD编号：CNNVD-200207-122
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0446
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-03-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  black_tie_project
• 漏洞来源：
  Ahmet Sabri ALPER※…

Black Tie Porject (BTP)是一款基于PHP的系统构建程序，设计用来模块化构建系统，允许用户方便和可定制化的增加额外模块。BTP是一款法语项目。
Black Tie Porject (BTP)对不存在的页面请求处理不正确，可导致wwwroot目录路径泄露。
远程用户可以提交一个不存在的页面给Black Tie Porject (BTP)服务程序，使Black Tie Porject (BTP)返回错误信息并显示wwwroot目录的绝对路径。
此信息泄露可帮助攻击者进一步对系统进行攻击。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在categorie.php3中插入如下判断语句如：

if ($requested_cat_number == “”) {

die (“Categorie number not found!”);

}

else {

// the original script functions

}
厂商补丁：
Black Tie Project
—————–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://trans.voila.fr/ano?anolg=65544&anourl=http%3A%2F%2Fbtp.logiciel-fr.com%2Findex.php3#” target=”_blank”>
http://trans.voila.fr/ano?anolg=65544&anourl=http%3A%2F%2Fbtp.logiciel-fr.com%2Findex.php3#

来源: XF
名称: btp-cid-path-disclosure(8439)
链接:http://www.iss.net/security_center/static/8439.php

来源: BID
名称: 4275
链接:http://www.securityfocus.com/bid/4275