发布⽇期:2008-01-23
  更新⽇期:2008-01-25
  受影响系统:
  HFS HTTP File Server 1.5g - 2.3(Beta Build#174)
  不受影响系统:
  HFS HTTP File Server 2.2c
cve漏洞库  描述:
  BUGTRAQ ID: 27423
  CVE(CAN) ID: CVE-2008-0405,CVE-2008-0406,CVE-2008-0407,CVE-2008-0408,CVE-2008-0409,CVE-2008-0410
  HTTP File Server是⽤于共享⽂件的开源HTTP服务器。
  HFS没有正确地记录某些输⼊,⽤户可以在登陆时伪造⽤户名将任意内容注⼊到⽇志⽂件中。 
  HFS没有正确地过滤某些输⼊便将其返回给了⽤户,这可能导致在受影响服务器的⽤户浏览器会话中执⾏任意HTML和脚本代码。
  远程攻击者可以通过向服务器提交包含有模板符号的特制请求导致泄露某些信息,如连接数、传输速度、通讯统计或运⾏时间等。
  HFS没有正确地处理⽤户名便使⽤⽤户名创建⽇志⽂件的⽂件名,这可能允许攻击者通过向服务器提交恶意请求导致创建⽬录、向⽂件附加数据,或触发缓冲区溢出。成功攻击允许执⾏任意代码,但要求使⽤了%user%模板符号定义⽇志⽂件的名称。
  HFS:⽬前⼚商已经发布了升级补丁以修复这个安全问题,请到⼚商的主页下载:
downloads.sourceforge/hfs/hfs2.2c.zip?modtime=1201107806&big_mirror=0

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。