Deerfield WebSite Pro 8.3文件名造成源代码泄露漏洞发布时间:2002-05-23 更新时间:2002-05-23 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:4783 受影响系统 Deerfield.com WebSite 3.1.11 .0详细描述 Deerfield WebSite Pro是商业性质的WEB服务器。 其中对使用8.3 短文件名的请求存在漏洞,可导致攻击者使用8.3格式长文件名获得文件源代码信息。 WINDOWS中类似"longfilename.txt"可以以"longfi~1.txt"表达,而name.jumbo" 可以用"name~1.jum"表达,攻击者就可以通过请求8.3格式文件名来造成Deerfield WebSite Pro处理错误泄露源代码。 测试代码 如请求此文件helloworld.shtml为hellow~1.sht会泄露源代码。 解决方案 Deerfield.com WebSite 3.1.11 .0: Deerfield.com Upgrade Website Pro 3.1.13.0 http://www.deerfield.com/download/website/ 相关信息 Ory Segal <ORY.SEGAL@SANCTUMINC.COM>. 参考:http://online.securityfocus.com/archive/1/273308 相关主页:http://www.deerfield.com/products/website/ |
