|
|
DB4Web存在文件泄露漏洞
发布时间:2002-09-20
更新时间:2002-09-20
严重程度:中
威胁程度:远程非授权文件存取
错误类型:输入验证错误
利用方式:服务器模式
BUGTRAQ ID:5723
受影响系统DB4Web DB4Web 3.4
DB4Web DB4Web 3.6 详细描述
DB4Web是应用服务程序允许读和写访问关系型数据库和通过WEB访问其他信息资源,使用在多种操作系统下。
DB4Web由于对用户输入缺少过滤可导致产生目录遍历问题,通过提交特殊的请求攻击者可以查看任意系统文件。
测试代码
http://db4web.server.system/scripts/db4web_c.exe/dbdirname/c%3A%5Cboot.ini
http://db4web.server.system/cgi-bin/db4web_c/dbdirname//etc/hosts
解决方案
补丁下载:
DB4Web DB4Web 3.4:
DB4Web Hotfix patch_V34BL27_HP-UX.tar
http://www.db4web.de/download/homepage/hotfix/patch_V34BL27_HP-UX.tar
DB4Web Hotfix patch_V34BL27_Linux.tar
http://www.db4web.de/download/homepage/hotfix/patch_V34BL27_Linux.tar
DB4Web Hotfix patch_V34BL27_SINIX.tar
http://www.db4web.de/download/homepage/hotfix/patch_V34BL27_SINIX.tar
DB4Web Hotfix patch_V34BL27_SunOS.tar
http://www.db4web.de/download/homepage/hotfix/patch_V34BL27_SunOS.tar
DB4Web Hotfix patch_V34BL27_NT.zip
http://www.db4web.de/download/homepage/hotfix/patch_V34BL27_NT.zip
DB4Web DB4Web 3.6:
DB4Web Hotfix patch_V36BL6_HP-UX.tar
http://www.db4web.de/download/homepage/hotfix/patch_V36BL6_HP-UX.tar
DB4Web Hotfix patch_V36BL6_Linux.tar
http://www.db4web.de/download/homepage/hotfix/patch_V36BL6_Linux.tar
DB4Web Hotfix patch_V36BL6_SINIX.tar
http://www.db4web.de/download/homepage/hotfix/patch_V36BL6_SINIX.tar
DB4Web Hotfix patch_V36BL6_SunOS.tar
http://www.db4web.de/download/homepage/hotfix/patch_V36BL6_SunOS.tar
DB4Web Hotfix patch_V36BL6_NT.zip
http://www.db4web.de/download/homepage/hotfix/patch_V36BL6_NT.zip
相关信息
参考:http://online.securityfocus.com/archive/1/292149
|
