BUGTRAQ ID: 32287
Pi3Web是免费的多线程HTTP服务器和开发环境。
Pi3web没有充分地检查入站请求。如果远程攻击者向服务器所请求的文件为ISAPI目录中的无效DLL的话,服务器就会将其作为DLL库加载到内存,导致崩溃。
pi3Web ISAPI目录遍历远程拒绝服务漏洞
Published:2008-11-13
Vulnerable:
Pi3.org Pi3Web 2.0.13
Discription:
SEBUG Solution:
临时解决方法:
* 在服务器配置的Server Admin > Mapping Tab中禁用ISAPI。
* 删除ISAPI文件夹中的users.txt、install.daf和readme.daf。
厂商补丁:
Pi3.org
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://pi3web.sourceforge.net/
* 在服务器配置的Server Admin > Mapping Tab中禁用ISAPI。
* 删除ISAPI文件夹中的users.txt、install.daf和readme.daf。
厂商补丁:
Pi3.org
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://pi3web.sourceforge.net/
Exploit:
[www.sebug.net]
The following procedures (methods) may contain something offensive,they are only for security researches and teaching , at your own risk!
The following procedures (methods) may contain something offensive,they are only for security researches and teaching , at your own risk!
http://WEB_SITE/isapi/users.txt
// Sebug.net [ 2008-11-17 ]