Security Lab

DoS для Htsearch CGI

Дата публикации:09.10.2001
Всего просмотров:1132
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Htsearch CGI запускается как CGI и как программа командной строки. Программа командной строки принимает аргумент -c [filename], чтобы считывать конфигурацию из дополнительного файла. С другой стороны, никаких дополнительных фильтров не сделано, чтобы запретить CGI программе считывать аргументы командной строки, так что удаленный пользователь может вынуждать останавливаться CGI пока не произойдет time out(заканчивающийся DoSом) или читать произвольные файлы конфигурации.

Пример:

http://your.host/cgi-bin/htsearch?-c/dev/zero

http://your.host/cgi-bin/htsearch?-c/path/to/my.file