发布日期：2007-10-22
更新日期：2007-10-23

受影响系统：

Mono Mono 1.x

不受影响系统：

Mono Mono 1.2.5.2

描述：

---

BUGTRAQ  ID: 26166
CVE(CAN) ID: CVE-2007-5473

Mono是基于.NET框架的开源开发平台，允许开发人员构建Linux和跨平台的应用。

运行在Windows平台上的Mono中StaticFileHandler.cs文件没有正确地处理某些用户请求，可能导致源码泄露。

如果请求中所使用的文件名以空格或句号结束的话，Win32子系统就无法正确地处理这样的文件名，会忽略拖尾字符，允许调用的应用程序打开磁盘上的文件，即使该文件的名称不包含有请求中所使用的拖尾字符。发送上述请求就会导致XSP返回所请求页面的源码。

<*来源：Marek Habersack （mhabersack@novell.com）
  
  链接：http://anonsvn.mono-project.com/viewcvs/trunk/mcs/class/System.Web/System.Web/StaticFileHandler.cs
        http://secunia.com/advisories/27349/
*>

建议：

---

厂商补丁：

Mono
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://anonsvn.mono-project.com/viewcvs/trunk/mcs/class/System.Web/System.Web/StaticFileHandler.cs?rev=87715&view=markup

浏览次数：2600
严重程度：0（网友投票）