Anthill远程文件包含漏洞
来源:岁月联盟
时间:2005-07-07
发布日期: 2003-11-29
受影响系统:
Anthill Anthill 0.2.5
不受影响系统:
Anthill Anthill 0.2.6
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 9095
Anthill是一款PHP编写的漏洞跟踪系统。
Anthill的附件处理代码存在问题,远程安全者可以利用这个漏洞包含远程服务器上文件,以WEB进程权限执行任意命令。
处理附件的代码允许恶意用户包含任意附件,包括远程服务器上的恶意PHP文件,并可以直接调用,以WEB进程权限执行任意命令。
<*来源:Vincent Danen
链接:http://secunia.com/advisories/10281/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Anthill
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到0.2.6版本:
http://anthill.vmlinuz.ca/staticpages/index.php?page=20020901121257418
