|
|
Infobot fortran的math存在任意执行命令漏洞
发布时间:2001-02-12
更新时间:2002-02-12
严重程度:中
威胁程度:普通用户访问权限
错误类型:输入验证错误
利用方式:服务器模式
受影响系统受影响版本和系统:
Kevin Lenzo Infobot 0.44.5.3
- Sun Solaris 8.0_x86
- Sun Solaris 8.0
- Sun Solaris 7.0_x86
- Sun Solaris 7.0
- S.u.S.E. Linux 7.0
- S.u.S.E. Linux 6.4
- RedHat Linux 7.0
- RedHat Linux 6.2
- OpenBSD OpenBSD 2.8
- OpenBSD OpenBSD 2.7
- NetBSD NetBSD 1.5
- NetBSD NetBSD 1.4.3
- MandrakeSoft Linux Mandrake 7.2
- MandrakeSoft Linux Mandrake 7.1
- MandrakeSoft Linux Mandrake 7.0
- FreeBSD FreeBSD 4.2
- FreeBSD FreeBSD 3.5.1
- Debian Linux 2.2 sparc
- Debian Linux 2.2 powerpc
- Debian Linux 2.2 arm
- Debian Linux 2.2 alpha
- Debian Linux 2.2 68k
- Debian Linux 2.2 详细描述
Infobot是一个免费的,开放源代码的IRCOT,设计用来自动管理IRC频道内的用户,其中BOT中的fortran math函数中存在问题可以允许执行命令,infobot通过私人消息从用户中处理命令,允许用户从BOT中获得信息。fortran math函数允许用户通过传递输入来计算数学问题,这数据通过一ECHO来传递,其结果返回给用户,但在传递带引号和分号的命令时出现问题,没有很好的去掉这些特殊符号。任意用户可以通过IRC 的UID来执行系统上的任意命令。
测试代码
尚无
解决方案
尚无
相关信息
|
