Xedus Webserver多个安全漏洞

漏洞信息详情

Xedus Webserver多个安全漏洞

• CNNVD编号：CNNVD-200408-232
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1646
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-08-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  jerod_moemeka
• 漏洞来源：
  GulfTech Security …

Xedus是一款点对点WEB服务程序，提供多种资源的共享。
Xedus存在多个安全问题，远程攻击者可以利用这些漏洞对服务程序进行拒绝服务攻击，跨站脚本攻击，及目录遍历攻击。
具体问题如下：
1. 拒绝服务
Xedus WEB服务器在处理来自同一主机的多个连接时存在问题，会导致拒绝所有合法用户的访问。
2. 跨站脚本攻击
Xedus WEB服务器多个脚本不正确处理用户提交输入，攻击者可以提交恶意站点，诱使用户处理，导致敏感信息泄露。
3. 目录遍历攻击
提交包含多个\’\’../\’\’字符的数据，可绕过WEB ROOT限制，以WEB进程权限查看系统文件内容。

厂商补丁：
Jerod Moemeka
————-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.thinxoft.com” target=”_blank”>
http://www.thinxoft.com

来源: XF
名称: xedus-dotdot-directory-traversal(17167)
链接:http://xforce.iss.net/xforce/xfdb/17167

来源: BID
名称: 11071
链接:http://www.securityfocus.com/bid/11071

来源: www.gulftech.org
链接:http://www.gulftech.org/?node=research&article_id=00047-08302004

来源: SECUNIA
名称: 12418
链接:http://secunia.com/advisories/12418

来源: BUGTRAQ
名称: 20040830 Multiple Vulnerabilities In Xedus Webserver
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109394018411394&w=2