English

◀◁ 뒤로 취약점ID 23161 위험도 30 포트 2301,2381 프로토콜 TCP 분류 CGI 상세설명 해당 HP SMH 서비스는 'namazu.cgi' 스크립트에 있는 디렉토리 탐색 취약점에 취약하다. Hewlett-Packard의 SMH(System Management Homepage)는 ProLiant와 Integrity 서버들을 위한 웹 기반의 관리 인터페이스이다. Microsoft Windows 플랫폼들 상에서 작동하는 HP SMH 2.0.0에서 2.1.4 까지의 버전들은 'namazu.cgi' 스크립트의 'lang' 인수로 전달된 사용자가 제공한 입력에 대한 부적절한 검증으로 인하여, 디렉토리 탐색 취약점에 취약하다. 'lang' 인수에 "dot dot" 시퀀스들(/../)을 포함한 'namazu.cgi' 스크립트로의 잘 조작된 URL을 보냄으로써, 원격지의 공격자는 웹 서버 상의 디렉토리들을 탐색하여 웹 서버 사용자 ID의 권한을 가지고 영향을 받는 호스트 상에 있는 임의의 파일들을 읽어 낼 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/426345/30/0/threaded http://secunia.com/advisories/19059/ * 영향을 받는 플랫폼: HP System Management Homepage 2.0.0에서 2.1.4 까지의 버전들 Microsoft Windows Any version 해결책 이 취약점은 다음 Hewlett-Packard 사의 보안 게시물 HPSBMA02099 SSRT061118 rev.1에 나와 있듯이 수작업으로 HP SMH의 구성 파일들을 편집함으로써 교정될 수 있다: http://www.securityfocus.com/advisories/10104 관련 URL CVE-2006-1023 (CVE) 관련 URL 16876 (SecurityFocus) 관련 URL 24996 (ISS)