Security Lab

Раскрытие инсталляционного пути в sbox

Дата публикации:29.09.2003
Всего просмотров:1164
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: sbox 1.x
Уязвимые версии: sbox 1.04

Описание: Уязвимость обнаружена в sbox. Удаленный пользователь может раскрыть информацию об инсталляционном пути и пользовательском пути.

Удаленный пользователь может представить HTTP запрос для несуществующего сценария в '/cgi-bin' каталоге, чтобы заставить сервер отобразить инсталляционный путь. Пример:

http://[target]/cgi-bin/non-existent.pl

Sbox Error
Stat failed. /home/jcf/cgi-bin/a.pl: No such file or directory

URL производителя: http://stein.cshl.org/WWW/software/sbox/

Решение: Отредактируйте исходный код таким образом, чтобы программа не отображала инсталляционный путь.

Ссылки: EORF2003-04: sbox path disclosure problem