发布日期：2009-02-23
更新日期：2009-02-25

受影响系统：

Mldonkey Mldonkey 2.9.7

描述：

---

BUGTRAQ  ID: 33865
CVE(CAN) ID: CVE-2009-0753

MLDonkey是开放源码的电驴客户端。

MLDonkey的src/utils/lib/url.ml脚本没有正确地处理以两个斜线开始的文件请求，如果远程攻击者向Mldonkey的http GUI（通常为tcp/4080）提交了恶意请求的话，就可以访问Web Root以外的文件。

<*来源：kyak
  
  链接：http://secunia.com/advisories/34008/
        https://savannah.nongnu.org/bugs/?25667
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://mlhost:4080//etc/passwd

建议：

---

厂商补丁：

Mldonkey
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://savannah.nongnu.org/bugs/download.php?file_id=17518

浏览次数：2803
严重程度：0（网友投票）