BugCVE: CAN-1999-1374
perlshop.cgi是一个用Perl编写的基于Web的在线购物程序。perlshop.cgi实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在主机上以Web进程的权限执行任意命令。
有问题的代码在这里:<pre>open (MAIL, |$blat_loc - -t $to -s $subject )
|| &err_trap( Can
t open $blat_loc!\\n )</pre>
$blat_loc定义的是NT下的一个命令行发信程序blat,$to是用户输入的邮件地址,程序中没有过滤“<>|&”等特殊字符,入侵者可以在邮件地址中插入系统命令。
3.1
临时解决方法:
如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
* 暂时停止使用该软件
厂商补丁:
arpanet
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://www.arpanet.com/PerlShop/download.html target=_blank>http://www.arpanet.com/PerlShop/download.html</a>
京公网安备 11010502034610号
暂无评论