Множественные уязвимости в Cherokee

Дата публикации:
04.01.2002
Всего просмотров:
599
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Cherokee - компактный Web сервер, который обеспечивает быструю доставку Web содержания.
Найдено 3 уязвимости:
1. Добавляя в конец последовательность '.. / ' к Web запросу, нападающий может просматривать файловую систему на уязвимом сервере.
2. Cherokee не фильтрует метасимволы от Web запросов. Это позволяет удаленному нападающему создать злонамеренный Web запрос, содержащий произвольные команды, которые будут выполнены с привилегиями процесса Web сервера (root).
3. Cherokee Web сервер не понижает root привилегии после того, как произошла связь с 80 портом (усиливает воздействие 1 и 2 уязвимости).
Уязвимость найдена в Cherokee HTTPD 0.1.0,0.1.5,0.1.6,0.2.0,0.2.5,0.2.6
 



Ссылки: Источник
http://aurora.esi.uem.es/~alo/cherokee/Cherokee-0.2.7.tar.gz
http://aurora.esi.uem.es/~alo/?action=cherokee
http://owasp.securitylab.ru/?ID=27091
http://owasp.securitylab.ru/?ID=27090
или введите имя

CAPTCHA