BusyBox HTTPD目录遍历漏洞

首页	安全动态	IT新闻	安全人物	本站动态	漏洞公告	病毒警报	木马预警
流氓软件	漏洞分析	入侵检测	升级补丁	安全配置	信道安全	设备安全	协议安全
WEB安全	病毒分析	木马研究	脚本注入	后门探讨	技术应用	数据安全	企业专区

收藏本站

设为首页

BusyBox HTTPD目录遍历漏洞

作者：佚名文章来源：不详点击数：更新时间：2007-1-26 15:01:55

2006-9-18

发布日期：2006-09-16
更新日期：2006-09-18

受影响系统：

Rob Landley BusyBox 1.01

描述：

BUGTRAQ ID: 20067

BusyBox是一个可执行程序，它把很多标准Linux工具的简版组合成在一起。

BusyBox的httpd工具实现上存在输入验证漏洞，远程攻击者可能利用此漏洞遍历服务器的目录。

攻击者可以在URL串中插入编码后的目录遍历串导致遍历服务器的目录，以进程权限检索任意文件。

<*来源：bug-finder （bug-finder@hotmail.com）
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com//%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

建议：

厂商补丁：

Rob Landley
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.busybox.net/about.html

新闻录入：admin 责任编辑：admin

上一篇新闻： Citrix Access Gateway|AAC|LDAP|认证绕过漏洞

下一篇新闻： Zope CSV_Table远程文件信息泄露漏洞

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

Sisfo Kampus文件包含及
JustSystems多个产品缓冲
Linksys WIP 330 PhoneC
D-Bus signals.c本地拒绝
IBM Lotus Domino多个Tu
IBM Lotus Notes NRPC协
D-Link DWL-G132 ASAGU.
WORK System E-Commerce
ProFTPD CommandBufferS
Passgo SSO Plus本地不安

\| 设为首页 \| 加入收藏 \| 联系站长 \| 友情链接 \| 版权申明 \|
Copyright © 2006-2008　www.anquan365.com　安全365 建议使用1024*768分辨率及第三方浏览器对本站进行浏览