OmniHTTPD存在文件破坏和命令可执行漏洞发布时间:2001-01-17 更新时间:2001-01-17 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Omnicron OmniHTTPD 2.0.7详细描述 OmniHTTPD是一个简单的基于WEB的服务程序,其中 'statsconfig.pl' 的实现中存在多个漏洞,可以导致破坏已知文件和执行任意命令,通过通过对'cgidir'表单变量追加一个Null参数,这个已知文件就会被破坏,另外,由于statsconfig.pl建立一个PERL脚本在文件上,当PERL脚本建立后,用户提供数据直接写到PERL脚本文件,如果攻击者设置这个值为带;号的PERL命令,他们就可以被statsconfig运行。 测试代码 http://www.securityfocus.com/data/vulnerabilities/exploits/omnismash.pl 解决方案 删除‘statsconfig.pl'文件. 相关信息 |
