HFS HTTP File Server 输入验证漏洞

漏洞信息详情

HFS HTTP File Server 输入验证漏洞

• CNNVD编号：CNNVD-200801-414
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2008-0407
  
• 漏洞类型：
  
  
  授权问题
  
• 发布时间：
  
  2008-01-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-09-05
  
• 厂        商：
  
  hfs
• 漏洞来源：
  Felipe Aragon※ fel…

HTTP File Server是一款专为个人用户所设计的HTTP文件服务器，它提供虚拟档案系统，支持新增、移除虚拟档案资料夹等。

HTTP文件服务器(HFS)2.2C在在用户发送HTTP基本验证期间，使用用户名发送的标记HTTP请求的日志记录，不论身份验证成功与否，这都可能会使系统管理员来确定谁发了远程请求变得更加困难。

厂商补丁：

HFS

—

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&big_mirror=0

来源: XF

名称: hfs-username-spoofing(39877)

链接:http://xforce.iss.net/xforce/xfdb/39877

来源: MISC

链接:http://www.syhunt.com/advisories/hfshack.txt

来源: BID

名称: 27423

链接:http://www.securityfocus.com/bid/27423

来源: BUGTRAQ

名称: 20080123 Syhunt: HFS (HTTP File Server) Username Spoofing and Log Forging/Injection Vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/486874/100/0/threaded

来源: MISC

链接:http://www.rejetto.com/hfs/?f=wn

来源: SECUNIA

名称: 28631

链接:http://secunia.com/advisories/28631

来源: SREASON

名称: 3582

链接:http://securityreason.com/securityalert/3582