漏洞信息详情
SGI IRIX InfoSearch CGI远程执行任意命令漏洞
- CNNVD编号:CNNVD-200003-001
- 危害等级: 高危
- CVE编号: CVE-2000-0207
- 漏洞类型: 输入验证
- 发布时间: 2000-03-01
- 威胁类型: 远程
- 更新时间: 2005-07-27
- 厂 商: sgi
- 漏洞来源: rpc [email protected]
漏洞简介
InfoSearch是SGI IRIX操作系统所带的CGI程序,用来查看在线图书,man页和发布消息。 软件包中的infosrch.cgi脚本实现上存在输入验证漏洞,远程攻击者可能利用此漏洞对在Web进程的权限在主机上执行任意命令。 infosrch.cgi脚本在将\'\'fname\'\'变量的传送给man2HTML程序前,它没有正确检查参数内容,远程攻击者可以在输入中混入SHELL转义字符比如\";\"从而在主机上执行任意命令。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 暂时去掉infosrch.cgi脚本的执行权限:
# /bin/chmod 500 /usr/lib/infosearch/bin/infosrch.cgi 厂商补丁: SGI --- SGI已经为此发布了一个安全公告(20000501-01-P)以及相应补丁:
20000501-01-P:Vulnerability in infosrch.cgi
链接:ftp://patches.sgi.com/support/free/security/advisories/20000501-01-P
补丁下载:
http://support.sgi.com/colls/patches/tools/relstream/index.HTML
参考网址
来源: BID 名称: 1031 链接:http://www.securityfocus.com/bid/1031 来源: SGI 名称: 20000501-01-P 链接:ftp://patches.sgi.com/support/free/security/advisories/20000501-01-P 来源:NSFOCUS 名称:361 链接:http://www.nsfocus.net/vulndb/361
受影响实体
- Sgi Infosearch:1.0
- Sgi Irix:6.5
- Sgi Irix:6.5.1
- Sgi Irix:6.5.2m
- Sgi Irix:6.5.3
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论