libsoup SoupServer目录遍历漏洞

漏洞起因
输入验证错误
危险等级
中

影响系统
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux HPC Node Optional 6
Red Hat Enterprise Linux Desktop Optional 6
Red Hat Enterprise Linux Desktop 6
GNOME Libsoup 2.4
GNOME Libsoup 2.26.1
GNOME Libsoup 2.26.0.9
GNOME Libsoup 2.24

不受影响系统

危害
远程攻击者可利用此漏洞通过目录遍历攻击获得系统敏感文件。

攻击所需条件
攻击者必须访问libsoup souserver。

漏洞信息
libsoup是一款用于GNOME的HTTP客户端/服务器库。
libsoup souserver不正确解析URL中的’..’，允许攻击者绕过WEB ROOT限制，访问SoupServer服务器上任意文件，造成敏感信息泄露。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
https://bugzilla.redhat.com/show_bug.cgi?id=720509

漏洞提供者
Vincent Danen

← MyWebServer远程缓冲区溢出漏洞

ioQuake3引擎远程代码执行漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

libsoup SoupServer目录遍历漏洞

0 条评论。

发表评论