漏洞信息详情

JJ CGI例子程序远程执行任意命令漏洞

• CNNVD编号：CNNVD-199612-015
• 危害等级： 高危
  
• CVE编号： CVE-1999-0260
• 漏洞类型： 未知
• 发布时间： 1996-12-24
• 威胁类型： 远程
• 更新时间： 2005-09-08
• 厂        商： renaud_deraison
• 漏洞来源： Aleph One※ aleph1@...

漏洞简介

JJ是随NCSA HTTPd发行的一个例子CGI程序。 JJ例子程序实现上存在漏洞，通过提交特插入特殊字符的数据给JJ可以在服务器上执行任意命令。 JJ会将用户输入的数据直接向/bin/mail传递。如果一个恶意用户在提交的数据中插入~字符，那么就可以退到shell里。但是攻击者必须知道程序的口令，遗憾的是该程序通常都是使用HTTPdRocKs或者SDGROCKS的默认口令。口令可以在源代码里修改。

漏洞公告

临时解决方法： 如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 将JJ移出Web目录。

参考网址

Vulnerable software and versionsConfiguration 1OR* cpe:/a:renaud_deraison:jj* Denotes Vulnerable Software* Changes related to vulnerability configurations Technical DetailsVulnerability Type (View All) CVE Standard Vulnerability Entry:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0260

受影响实体

• Renaud_deraison Jj  

补丁

暂无