cgihtml不安全临时文件符号链接漏洞

漏洞信息详情

cgihtml不安全临时文件符号链接漏洞

• CNNVD编号：CNNVD-200312-400
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2003-1281
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-01-07
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2006-01-20
  
• 厂        商：
  
  eekim
• 漏洞来源：
  Chris Leishman※ ch…

cgihtml是一套解析WWW通用网关接口输入和以超文本标记语言输出的系统。
cgihtml在建立表单临时文件使不安全，远程攻击者可以利用这个漏洞通过符号链接攻击覆盖系统任意文件。
当处理上传的表单数据时，cgihtml会在/tmp或用户指定的目录中建立临时文件，而程序在建立临时文件时使用客户端提供的文件名。本地攻击者可以利用这个问题，把临时文件通过符号链接指向系统中任意进程可写文件，通过表单数据上传，覆盖系统文件文件，造成本地拒绝服务攻击。

厂商补丁：
Eekim
—–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.eekim.com/software/cgihtml/” target=”_blank”>
http://www.eekim.com/software/cgihtml/

来源: BID
名称: 6552
链接:http://www.securityfocus.com/bid/6552

来源: BUGTRAQ
名称: 20030107 Multiple cgihtml vulnerabilities
链接:http://www.securityfocus.com/archive/1/305469

来源: XF
名称: cgihtml-tmpfile-symlink(11023)
链接:http://www.iss.net/security_center/static/11023.php

来源：NSFOCUS
名称：4188
链接：http://www.nsfocus.net/vulndb/4188