SysAdmin Magazine man.sh远程执行任意命令漏洞

发布日期：1998-05-16
更新日期：1998-05-16

受影响系统：

SysAdmin Magazine man.sh 1.0

描述：

---

BUGTRAQ ID: 2276

man.sh是SysAdmin Magazine中提供的一个脚本，用来把手册页实时转换为html文件，并可以通过Web访问到。

早期版本的man.sh脚本实现上存在输入验证漏洞，远程攻击者可以利用此漏洞以Web服务进程的权限在主机上执行任意命令。

问题在于脚本对用户输入未进行充分过滤，导致远程攻击者可以通过构造特殊输入使用主机执行任意命令。

<*来源：Robert Moniot （moniot@pascal.dsm.fordham.edu）

链接：http://online.securityfocus.com/bid/2276
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果不需要使用man.sh脚本，去除此脚本的执行权限或删除之。

厂商补丁：

SysAdmin Magazine
-----------------
厂商已经在最新版的脚本中修补了此漏洞，请到厂商的主页下载：

http://freeware.webcom.se/

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有