Image Display System可判断目录是否存在漏洞

漏洞信息详情

Image Display System可判断目录是否存在漏洞

• CNNVD编号：CNNVD-200212-786
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1837
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2002-05-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ids
• 漏洞来源：
  isox isox@chainsaw…

IDS(Image Display System)是一款基于Web的图象册应用程序，由Perl编写，Ashley M. Kirchner维护。
IDS对用户提交的请求缺少正确的处理，可导致远程攻击者获得主机相关的路径信息。
攻击者可以提交包含\’\’../\’\’字符的目录和图象册名称的请求，就可以导致IDS返回包含目录是否存在的错误信息，攻击者可以通过此信息进一步对系统进行攻击。
问题存在于如下处理代码中：
idsShared.pm：：getAlbumToDisplay()
=================================
if ($albumtodisplay ne \’\’/\’\’ ＆＆ !-e $ppath . \”albums/$albumtodisplay\”) { ＃ does this album exist?
bail (\”Sorry， the album ＼\”$albumtodisplay＼\” doesn\’\’t exist： $!\”);
}

if ($albumtodisplay =~ /＼.＼./) { ＃ hax0r protection…
bail (\”Sorry， invalid directory name： $!\”);
}

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 对Image Display System进行访问控制，只允许可信用户访问。
厂商补丁：
IDS
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://ids.sourceforge.net/” target=”_blank”>
http://ids.sourceforge.net/

来源: BID
名称: 4870
链接:http://www.securityfocus.com/bid/4870

来源: XF
名称: ids-dir-existence(9201)
链接:http://www.iss.net/security_center/static/9201.php

来源: ids.sourceforge.net
链接:http://ids.sourceforge.net/ChangeLog.html

来源：NSFOCUS
名称：2881
链接：http://www.nsfocus.net/vulndb/2881