发布日期：2001-04-17
更新日期：2001-04-17

受影响系统：

IBM Net.Commerce 3.1.2
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - Microsoft Windows NT 4.0
   - IBM AIX 4.3.2
   - IBM AIX 4.3.1
   - IBM AIX 4.2.1

描述：

---

BUGTRAQ  ID: 2588
CVE(CAN) ID: CAN-2001-0390

Net.Commerce是IBM发行的产品的Websphere平台的一部分。它提供了一些通用的特性使电子商务变得更加容易，其性能和可靠性也有独到之处。

Net.Commerce包中存在的一个问题允许远程攻击者使Websphere服务器拒绝为其合法用户提供服务。这是由于Net.Commerce安装包中所包含的宏macro.d2w对长串处理不当。通过提交包含许多“%0a”的长串给该CGI程序，Websphere服务器将停止工作。

远程用户可以利用这个漏洞来击溃Websphere服务器，从而使其拒绝为合法用户提供服务。

<* 来源：ET LoWNOISE (et@cyberspace.org)  *>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://host/cgi-bin/ncommerce3/ExecMacro/macro.d2w/%0a%0a..(大约1000个)..%0a

建议：

---

厂商补丁：

暂无



浏览次数：5015
严重程度：0（网友投票）