发布日期：2002-03-26
更新日期：2002-04-01

受影响系统：

ht://Dig Group ht://Dig 3.20b4
ht://Dig Group ht://Dig 3.20b3
ht://Dig Group ht://Dig 3.20b2
ht://Dig Group ht://Dig 3.2.0
ht://Dig Group ht://Dig 3.1.6
ht://Dig Group ht://Dig 3.1.5-8
ht://Dig Group ht://Dig 3.1.5-7
ht://Dig Group ht://Dig 3.1.5

描述：

---

BUGTRAQ  ID: 4366
CVE(CAN) ID: CVE-2000-1191

ht://Dig是由ht://Dig项目组开发和维护的免费搜索引擎，运行在多种Unix和Linux系统平台下。

ht://Dig的htsearch组件对处理变量存在漏洞，可导致配置文件目录泄露。

ht://Dig的htsearch组件在以提供'config'变量方式运行时，没有进行内容过滤，把过多的或者无意义的数据作为参数提交给config变量，可导致ht://Dig返回配置文件目录的全部路径。此外，'config'变量可以被任意用户访问，导致ht://Dig程序把任意文件作为配置文件装载。

<*来源：Craig Davison （cdavison@securityfocus.com）
  *>

建议：

---

厂商补丁：

ht://Dig Group
--------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.htdig.org/

浏览次数：3489
严重程度：0（网友投票）