NEWLOG NetSupport Manager存在目录遍历漏洞

漏洞信息详情

NEWLOG NetSupport Manager存在目录遍历漏洞

• CNNVD编号：CNNVD-200208-133
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0482
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-03-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  newlog
• 漏洞来源：
  Watcher60※ watcher…

NEWLOG NetSupport Manager是一款多功能网络操作程序，支持远程控制、文件传输，脚本自动管理、网络监视等功能。运行在多种操作系统平台下。
NEWLOG NetSupport Manager存在对用户输入过滤不充分问题，使攻击者可以远程以httpd进程的权限遍历主机上的目录，读取任意有权限读取的文件。
造成漏洞的原因在于NEWLOG NetSupport Manager的80端口服务没有对用户输入的数据进行有效的安全性检查，攻击者可以通过在变量中输入\”../\”这样的字符串来进行目录遍历。攻击者可以远程读取系统上任意httpd有权读取的文件内容。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。
厂商补丁：
NEWLOG
——
Netsupport Manager 7.0不存在此漏洞，可以到如下地址下载：

http://www.newlock.com/htm/html/regform.htm” target=”_blank”>
http://www.newlock.com/htm/html/regform.htm

来源: BID
名称: 4348
链接:http://www.securityfocus.com/bid/4348

来源: XF
名称: netsupport-manager-directory-traversal(8610)
链接:http://www.iss.net/security_center/static/8610.php

来源: BUGTRAQ
名称: 20020321 Webtraversal in PCI Netsupport Manager (all version up to 7 using web extensions)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-03/0285.html