漏洞信息详情
bozotic HTTP server 安全漏洞
- CNNVD编号:CNNVD-201407-610
- 危害等级: 中危
- CVE编号: CVE-2014-5015
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2014-07-30
- 威胁类型: 远程
- 更新时间: 2014-07-30
- 厂 商: eterna
- 漏洞来源:
漏洞简介
NetBSD是NetBSD基金会开发的一套免费开源的类Unix操作系统。bozotic HTTP server(又名bozohttpd)是一款HTTP服务器。
在NetBSD操作系统中使用的bozotic HTTP server 20140708之前版本中存在安全漏洞,该漏洞源于程序检查‘.htpasswd’文件的权限时截断了路径。远程攻击者可通过发送较长的路径利用该漏洞绕过HTTP认证机制和访问限制。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-007.txt.asc
参考网址
来源:OSVDB
链接:http://www.osvdb.org/109283
来源:www.eterna.com.au
链接:http://www.eterna.com.au/bozohttpd/CHANGES
来源:XF
链接:http://xforce.iss.net/xforce/xfdb/94751
来源:BID
链接:http://www.securityfocus.com/bid/68752
来源:MLIST
链接:http://seclists.org/oss-sec/2014/q3/180
来源:www.eterna.com.au
链接:http://www.eterna.com.au/bozohttpd/
来源:NETBSD
链接:ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-007.txt.asc
受影响实体
- Eterna Bozohttpd:20020803
- Eterna Bozohttpd:19990519
- Eterna Bozohttpd:20000421
- Eterna Bozohttpd:20000426
- Eterna Bozohttpd:20000815
补丁
- NetBSD-SA2014-007.txt
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论