漏洞信息详情
JJ CGI例子程序远程执行任意命令漏洞
- CNNVD编号:CNNVD-199612-015
- 危害等级: 高危
- CVE编号: CVE-1999-0260
- 漏洞类型: 未知
- 发布时间: 1996-12-24
- 威胁类型: 远程
- 更新时间: 2005-09-08
- 厂 商: renaud_deraison
- 漏洞来源: Aleph One※ aleph1@...
漏洞简介
JJ是随NCSA HTTPd发行的一个例子CGI程序。 JJ例子程序实现上存在漏洞,通过提交特插入特殊字符的数据给JJ可以在服务器上执行任意命令。 JJ会将用户输入的数据直接向/bin/mail传递。如果一个恶意用户在提交的数据中插入~字符,那么就可以退到shell里。但是攻击者必须知道程序的口令,遗憾的是该程序通常都是使用HTTPdRocKs或者SDGROCKS的默认口令。口令可以在源代码里修改。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 将JJ移出Web目录。
参考网址
Vulnerable software and versionsConfiguration 1OR* cpe:/a:renaud_deraison:jj* Denotes Vulnerable Software* Changes related to vulnerability configurations Technical DetailsVulnerability Type (View All) CVE Standard Vulnerability Entry:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0260
受影响实体
- Renaud_deraison Jj
补丁
暂无
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论