漏洞信息详情

ZeroShell 'cgi-bin/kerbynet' 远程指令执行漏洞

• CNNVD编号：CNNVD-200902-289
• 危害等级： 超危
  
• CVE编号： CVE-2009-0545
• 漏洞类型： 输入验证
• 发布时间： 2009-02-12
• 威胁类型： 远程
• 更新时间： 2009-02-13
• 厂        商： zeroshell
• 漏洞来源： Luca Carettoni

漏洞简介

ZeroShell是为嵌入式设备开发的一个基于Linux的网络服务器系统的操作系，是Linux的一个发行版，能提供路由、桥接、防火墙等各种主要网络功能。

ZeroShell 1.0beta11及之前版本中的cgi-bin/kerbynet允许远程攻击者借助NoAuthREQ x509List操作中的类别参数里的外壳元字符，执行任意指令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Fulvio Ricciardi ZeroShell 1.0beta11

Fulvio Ricciardi C100-Security-Fix-beta11.tar.bz2

http://www.zeroshell.net/listing/C100-Security-Fix-beta11.tar.bz2

参考网址

来源: MISC

链接:http://www.zeroshell.net/eng/patch-details/#C100

来源: MISC

链接:http://www.zeroshell.net/eng/announcements/

来源: VUPEN

名称: ADV-2009-0385

链接:http://www.frsirt.com/english/advisories/2009/0385

来源: BUGTRAQ

名称: 20090209 ZeroShell <= 1.0beta11="" remote="" code="">

链接:http://www.securityfocus.com/archive/1/archive/1/500763/100/0/threaded

来源: MILW0RM

名称: 8023

链接:http://www.milw0rm.com/exploits/8023

来源: MISC

链接:http://www.ikkisoft.com/stuff/LC-2009-01.txt

受影响实体

• Zeroshell Zeroshell:1.0:Beta1  
• Zeroshell Zeroshell:1.0:Beta2  
• Zeroshell Zeroshell:1.0:Beta4  
• Zeroshell Zeroshell:1.0:Beta7  
• Zeroshell Zeroshell:1.0:Beta3  

补丁

暂无