发布日期：2001-12-30
更新日期：2002-01-09

受影响系统：

Matrix's CGI Vault Last Lines 2.0

描述：

---

BUGTRAQ  ID: 3754
CVE(CAN) ID: CVE-2001-1205

Last Lines CGI是一个免费的脚本，用Perl实现，由Matrix's CGI Vault维护。它可以使用户打印出Web日志文件尾部中某些指定的行。

Lastlines.cgi存在输入验证漏洞，远程攻击者可以利用这个漏洞遍历主机的目录读取任意有权限读取的文件。

问题代码：
# $unixdir="path/here";
# $error_log是用户输入的值

open(FILE, "$unix_dir/$error_log"


<*来源：BrainRawt （brainrawt@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0298.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止此程序的使用。

厂商补丁：

Matrix's CGI Vault
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.matrixvault.com/cgi/Last_Lines.shtml

浏览次数：2921
严重程度：0（网友投票）