WebCalendar远程文件信息泄露漏洞

漏洞信息详情

WebCalendar远程文件信息泄露漏洞

• CNNVD编号：CNNVD-200212-483
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-2065
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-06-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  webcalendar
• 漏洞来源：

WebCalendar是一款PHP编写的基于WEB的日历程序，可单人或者多人进行日历维护，可运行在多种Unix和Linux操作系统下。
WebCalendar存在\’\’.inc\’\’扩展文件，可导致远程攻击者通过请求此类文件获得系统敏感信息。
WebCalendar默认安装后，在web root目录中会包含以\’\’.inc\’\’为扩展名的文件，此类文件包含系统敏感信息，由于这些文件没有通过PHP解析器处理，可导致攻击者直接请求此类文件而获得系统应用相关的敏感信息，攻击者可以通过这些信息进一步对系统进行攻击。
＜**＞

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 配置WEB服务程序对以’.inc’结尾的文件不进行输出或者更改’.inc’扩展名为’.inc.php’使的PHP解析程序可以处理。
厂商补丁：
Craig Knudsen
————-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Craig Knudsen Upgrade WebCalendar-0.9.35.tar.gz

http://prdownloads.sourceforge.net/webcalendar/WebCalendar-0.9.35.tar.gz?download” target=”_blank”>
http://prdownloads.sourceforge.net/webcalendar/WebCalendar-0.9.35.tar.gz?download

来源: sourceforge.net
链接:http://sourceforge.net/project/shownotes.php?group_id=3870&release_id=93295

来源: BID
名称: 4961
链接:http://www.securityfocus.com/bid/4961

来源: XF
名称: webcalendar-inc-obtain-information(9296)
链接:http://www.iss.net/security_center/static/9296.php

来源：NSFOCUS
名称：2962
链接：http://www.nsfocus.net/vulndb/2962