Sun i-Runbook远程目录及文件内容泄露漏洞

漏洞信息详情

Sun i-Runbook远程目录及文件内容泄露漏洞

• CNNVD编号：CNNVD-200210-157
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1033
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-07-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  sun
• 漏洞来源：
  JWC JWC@portcullis…

Sun i-Runbook是一款设计用于为SUN环境提供基于WEB的技术和管理规程的系统，i-Runbook提供WEB接口。
Sun i-Runbook的WEB接口对用户提交的URL请求缺少正确过滤，远程攻击者可以利用此漏洞提交畸形URL请求以WEB进程的权限查看系统中任意文件内容。
Sun i-Runbook包含的none.php脚本对用户提交的数据缺少正确处理，攻击者可以提交包含多个\”..：..\”字符，并追加想要查看的系统文件名或目录，服务程序在解析这个请求时由于处理错误会返回包含请求文件和目录的信息；另外，通过直接请求相关的系统文件名或者目录，服务程序也会直接返回文件或目录内容。

厂商补丁：
Sun
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sun.co.uk/consulting/sunpro/pdf/irunbook-4.pdf” target=”_blank”>
http://www.sun.co.uk/consulting/sunpro/pdf/irunbook-4.pdf

来源: BID
名称: 5209
链接:http://www.securityfocus.com/bid/5209

来源: XF
名称: sun-irunbook-information-disclosure(9549)
链接:http://www.iss.net/security_center/static/9549.php

来源: BUGTRAQ
名称: 20020711 Portcullis Security Advisory – Directory Traversal Vulnerability in SunPS iRunbook 2.5.2
链接:http://online.securityfocus.com/archive/1/281786