Раскрытие информации в LinuxStat

Дата публикации:
26.10.2004
Дата изменения:
17.10.2006
Всего просмотров:
909
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
LinuxStat 2.x
Уязвимые версии: LinuxStat версии до 2.3.1

Описание:
Обнаружена уязвимость в LinuxStat. Удаленный атакующий может прочитать проивзольный файл на уязвимой системе.

Приложение недостаточно фильтрует входные данный для параметра 'template' в файле 'lstat.cgi'. Удаленный атакующий может создать специально сформированный запрос, содержащий символ перехода между каталогами (‘../’), и просмотреть произвольный файл на системе с привилегиями текущей службы. Пример:

http://[target]/lstat/lstat.cgi?obj=wg104&template=../../../../.. /../../../etc/passwd&from=-1m&to=now

URL производителя: http://lstat.sourceforge.net/pl/security.html

Решение: Установите обновление
http://prdownloads.sourcefo rge.net/lstat/lstat-2.3.1.tar.gz?download

Ссылки: LinuxStat Input Validation Flaw Lets Remote Users View Files on the Target System

или введите имя

CAPTCHA