CVE-2002-2095
CVSS5.0
发布时间 :2002-12-31 00:00:00
修订时间 :2008-09-05 16:32:19
NMCO    

[原文]Joe Testa hellbent 01 webserver allows attackers to read files that are specified in the hellbent.prefs file by creating a file with a similar name in the web root, as demonstrated using (1) index.webroot and (2) index.ipallow.


[CNNVD]Joe Testa hellbent服务器信息泄露漏洞(CNNVD-200212-762)

        
        hellbent是一个由Joe Testa维护的Java服务器程序。
        hellbent实现上存在问题,远程攻击者可能利用这个问题得到Web服务器的一些相关信息。
        hellbent服务器上存在一个'hellbent.prefs'文件,这个文件中有Web主目录,访问和错误文件的路径信息,IP访问控制列表等信息。如果攻击者能够在服务器的主目录中创建文件,如果创建一个名字与某个'hellbent.prefs'中条目一样的文件,当通过Web访问此文件时,服务器会返回'hellbent.prefs'文件中的相应条目的信息。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-2095
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-2095
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200212-762
(官方数据源) CNNVD

- 其它链接及资源

http://www.securityfocus.com/bid/3909
(PATCH)  BID  3909
http://www.iss.net/security_center/static/7931.php
(PATCH)  XF  hellbent-prefs-obtain-info(7931)
http://archives.neohapsis.com/archives/bugtraq/2002-01/0228.html
(VENDOR_ADVISORY)  BUGTRAQ  20020118 Vulnerability in hellbent

- 漏洞信息

Joe Testa hellbent服务器信息泄露漏洞
中危 访问验证错误
2002-12-31 00:00:00 2005-10-20 00:00:00
远程  
        
        hellbent是一个由Joe Testa维护的Java服务器程序。
        hellbent实现上存在问题,远程攻击者可能利用这个问题得到Web服务器的一些相关信息。
        hellbent服务器上存在一个'hellbent.prefs'文件,这个文件中有Web主目录,访问和错误文件的路径信息,IP访问控制列表等信息。如果攻击者能够在服务器的主目录中创建文件,如果创建一个名字与某个'hellbent.prefs'中条目一样的文件,当通过Web访问此文件时,服务器会返回'hellbent.prefs'文件中的相应条目的信息。
        

- 公告与补丁

        临时解决方法:
        此问题没有合适的临时解决方法。
        厂商补丁:
        Joe Testa
        ---------
        目前厂商已经在0.11版的软件中修补了这个问题,请到厂商的主页下载:
        
        http://hogs.rit.edu/~joet/code/hellbent_v011.zip

- 漏洞信息

19758
Joe Testa hellbent Content-Type: Header Arbitrary File Access

- 漏洞描述

Unknown or Incomplete

- 时间线

2002-01-18 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站