Apple QuickTime/Darwin Streaming Server parse_xml.cgi远程命令执行漏洞发布时间:2003-03-09 更新时间:2003-03-09 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6954 CVE(CAN) ID:CAN-2003-0050 受影响系统 Apple Darwin Streaming Server 4.1.2详细描述 Apple QuickTime/Darwin Streaming Server的parse_xml.cgi脚本实现上存在漏洞,远程入侵者可能利用此漏洞在服务器上执行命令。parse_xml.cgi没有正确过滤用户提供的输入,入侵者提交特殊的包含shell命令的数据给脚本就可能以Web服务进程的权限在服务器上执行任意命令。 解决方案 厂商已经提供了如下的补丁以解决此安全问题: Apple Quicktime Streaming Server 4.1.1: Apple Upgrade MacOSXServerUpdate10.2.4.dmg http://docs.info.apple.com/article.html?artnum=70171#English Apple Darwin Streaming Server 4.1.2: Apple Upgrade MacOSXServerUpdate10.2.4.dmg http://docs.info.apple.com/article.html?artnum=70171#English 相关信息 Dave G. <daveg@atstake.com> QuickTime/Darwin Streaming Administration Server Multiple vulnerabilities http://online.securityfocus.com/advisories/5020 |
