发布日期：2002-09-23
更新日期：2002-09-27

受影响系统：

Dino Webserver 1.2

描述：

---

CVE(CAN) ID: CVE-2002-1133

Dino's Webserver是一款小型WEB服务器程序。

Dino Web服务程序对用户提交的请求检查不够充分，远程攻击者可以利用这个漏洞以WEB用户权限在系统上查看任意文件内容。

Dino Web服务程序对以URL编码代替的"/"和"\"字符缺少正确过滤，远程攻击者通过提交包含URL编码的"/"和"\"字符的URI请求，可能以WEB用户权限查看与应用程序同一逻辑驱动盘下所有文件内容。

<*来源：David Endler （dendler@idefense.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103281444824285&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 由于Dino`s FunSoft已经不再继续开发，建议换一个Webserver。

厂商补丁：

Dino
----
Dino Web服务程序已经停止更新，建议用户停止使用Dino Web服务程序。

http://home.no.net/~nextgen/

浏览次数：2438
严重程度：0（网友投票）