发布日期：2007-06-27
更新日期：2007-06-28

受影响系统：
Sergey Lyubka SHTTPD 1.38
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 24618
CVE(CAN) ID: CVE-2007-3407

SHTTPD是一款轻量级的简单易用的web服务器。

SHTTPD处理HTTP请求时存在漏洞，远程攻击者可能利用此漏洞获取脚本源码。

SHTTPD没有正确地处理HTTP请求，如果用户在所提交的URI后附加了“%20”字符的话，就可能导致泄露某些脚本的源码。

<*来源：Shay priel

链接：http://secunia.com/advisories/25809/
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/test.php%20

建议：
--------------------------------------------------------------------------------
厂商补丁：

Sergey Lyubka
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://shttpd.sourceforge.net/
【绿盟授权51CTO.COM 独家报道，未经书面许可不得转载！】

　　推荐阅读

　　GD图形库多个安全漏洞

发布日期：2007-06-26 更新日期：2007-06-28受影响系统： GD gdlib < 2.0.35 不受影响系统： GD gdlib 2.0.35 描述： -------------------------------------------------------------------------------- BU>>>详细阅读

本文标题：SHTTPD文件名解析错误信息泄露漏洞

地址：http://www.17bianji.com/anquan/buding/2740.html

 1/2    1