KeyFocus KF Web Server远程目录遍历漏洞

漏洞信息详情

KeyFocus KF Web Server远程目录遍历漏洞

• CNNVD编号：CNNVD-200212-755
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-2403
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2002-11-13
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2002-12-31
  
• 厂        商：
  
  key_focus
• 漏洞来源：
  mattmurphy※ mattmu…

KeyFocus Web服务程序是一款多功能的HTTP服务程序，支持多种日志格式，目录索引，预定义MIME设置，URL检查等功能。
KeyFocus Web服务程序不正确处理文件名包含\’\’.\’\’字符的请求，远程攻击者可以利用这个漏洞进行目录遍历攻击。
攻击者提交多个\’\’.\’\’字符的WEB请求，可导致脱离WEB ROOT目录，而以WEB进程的权限遍历系统目录，查看任意可查看的敏感文件内容。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 设置只有部分MIME类型文件可被访问，最大限度防止此漏洞的破坏。
厂商补丁：
Key Focus
———
KFWS v2.0.0(Beta)已经修正了这个漏洞，下一个Stable版本也修正了这个漏洞：

http://www.keyfocus.net/kfws/” target=”_blank”>
http://www.keyfocus.net/kfws/

来源: BID
名称: 6180
链接:http://www.securityfocus.com/bid/6180

来源: BUGTRAQ
名称: 20021113 KeyFocus KF Web Server File Disclosure Vulnerability
链接:http://www.securityfocus.com/archive/1/299742

来源: www.keyfocus.net
链接:http://www.keyfocus.net/kfws/support/

来源: XF
名称: keyfocus-get-directory-traversal(10622)
链接:http://www.iss.net/security_center/static/10622.php

来源: SREASON
名称: 3331
链接:http://securityreason.com/securityalert/3331

来源: VULNWATCH
名称: 20021113 KeyFocus KF Web Server File Disclosure Vulnerability
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0073.html

来源：NSFOCUS
名称：3844
链接：http://www.nsfocus.net/vulndb/3844