Novell NetBasic Scripting Server目录遍历漏洞

漏洞信息详情

Novell NetBasic Scripting Server目录遍历漏洞

• CNNVD编号：CNNVD-200304-069
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1417
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-08-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-12
  
• 厂        商：
  
  novell
• 漏洞来源：
  Rain Forrest Puppy…

NetBasic Scripting Server是一款NOVELL公司开发的由Web页访问数据库的技术，类似Perl代码执行。Perl -v显示版本信息，类似Microsoft公司的ASP与ADO等。
NetBasic Scripting Server存在一个目录遍历漏洞，远程攻击者可以利用这些漏洞访问未授权资源。
NetBasic Scripting Server对Unicode字符缺少正确的过滤，用户可以提交包含\\%5c的字符绕过目录限制，访问上级目录内容。当NetBasic scripting server (NSN)映射为可访问资源时，一般以 http：//servername.whatever.com/nsn/whatever 方式处理请求，虽然NetBasic Scripting Server对如…/nsn/../dir/script或…nsn/..＼dir/script这样的请求作了限制，但是如果使用\\%5c作为\’\’＼\’\’符号使用，攻击者就可以以NetBasic Scripting Server进程的权限遍历服务器目录，查看系统任意文件内容。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
Novell
——
Novell已经为此发布了一个安全公告(NOVL-2002-2963297)以及相应补丁:

NOVL-2002-2963297：NetBasic Buffer Overflow + Scripting Vulnerability

链接：http://support.novell.com/servlet/tidfinder/2963297” target=”_blank”>
http://support.novell.com/servlet/tidfinder/2963297

Novell公司已经提供补丁程序，但这个补丁是BETA版本，所以只有注册用户(不需要费用)才能下载：

http://support.novell.com/servlet/filedownload/ftf/nscript1.exe/” target=”_blank”>
http://support.novell.com/servlet/filedownload/ftf/nscript1.exe/

这个补丁展开来之后建立NSCRIPT.ZIP文件，解压这个ZIP文件到SYS：卷，然后重新启动服务器。

来源: BID
名称: 5523
链接:http://www.securityfocus.com/bid/5523

来源: XF
名称: novell-netbasic-directory-traversal(9910)
链接:http://www.iss.net/security_center/static/9910.php

来源: BUGTRAQ
名称: 20020820 NOVL-2002-2963297 – NetBasic Buffer Overflow + Scripting Vulnerability
链接:http://archives.neohapsis.com/archives/bugtraq/2002-08/0199.html

来源: support.novell.com
链接:http://support.novell.com/servlet/tidfinder/2963297