漏洞信息详情

cgiHTML不安全临时文件符号链接漏洞

• CNNVD编号：CNNVD-200312-400
• 危害等级： 低危
  
• CVE编号： CVE-2003-1281
• 漏洞类型： 设计错误
• 发布时间： 2003-01-07
• 威胁类型： 本地
• 更新时间： 2006-01-20
• 厂        商： eekim
• 漏洞来源： Chris Leishman※ ch...

漏洞简介

cgiHTML是一套解析WWW通用网关接口输入和以超文本标记语言输出的系统。 cgiHTML在建立表单临时文件使不安全，远程攻击者可以利用这个漏洞通过符号链接攻击覆盖系统任意文件。 当处理上传的表单数据时，cgiHTML会在/tmp或用户指定的目录中建立临时文件，而程序在建立临时文件时使用客户端提供的文件名。本地攻击者可以利用这个问题，把临时文件通过符号链接指向系统中任意进程可写文件，通过表单数据上传，覆盖系统文件文件，造成本地拒绝服务攻击。

漏洞公告

厂商补丁： Eekim ----- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.eekim.com/software/cgiHTML/

参考网址

来源: BID 名称: 6552 链接:http://www.securityfocus.com/bid/6552 来源: BUGTRAQ 名称: 20030107 Multiple cgiHTML vulnerabilities 链接:http://www.securityfocus.com/archive/1/305469 来源: XF 名称: cgiHTML-tmpfile-symlink(11023) 链接:http://www.iss.net/security_center/static/11023.php 来源：NSFOCUS 名称：4188 链接：http://www.nsfocus.net/vulndb/4188

受影响实体

• Eekim CgiHTML:1.69  

补丁

暂无