发布日期：2007-10-22
更新日期：2007-10-25

受影响系统：

LiteSpeed Technologies LiteSpeed Web Server 3.2.3

不受影响系统：

LiteSpeed Technologies LiteSpeed Web Server 3.2.4

描述：

---

BUGTRAQ  ID: 26163

LiteSpeed Web Server是一款高性能的web服务器。

Litespeed没有正确地解析Mime类型的URL/文件，如果用户在提交的URL请求后后缀了空字符和扩展名的话，就可能导致站点返回源码。

<*来源：Tr3mbl3r
  
  链接：http://www.milw0rm.com/exploits/4556
        http://www.litespeedtech.com/latest/litespeed-web-server-3.2.4-released.html
        http://secunia.com/advisories/27302/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/index.php%00.txt

建议：

---

厂商补丁：

LiteSpeed Technologies
----------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.litespeedtech.com/packages/3.0/lsws-3.2.4-std-i386-freebsd6.tar.gz

浏览次数：2698
严重程度：0（网友投票）