Acme thttpd < 2.26 多个漏洞
high Nessus 插件 ID 97144
语言:
简介
远程服务器受到多个漏洞影响。描述
根据其标题,远程主机上运行的 Acme thttpd 服务器版本低于 2.26。因而会受到多个漏洞的影响:- htpasswd 实用工具中存在多个缓冲区溢出情况。本地攻击者可利用这些问题,通过调用 htpasswd 并提供任意命令,以及要添加至密码文件的用户名,以提升的权限绕过要求的认证并执行任意程序。(CVE-2006-1078) - htpasswd 中存在缺陷,允许本地攻击者通过命令行参数中的 shell 元字符获得权限,随后可用于执行其他命令。(CVE-2006-1079) - 存在不明缺陷,允许本地攻击者通过 start_thttpd 临时文件上的符号链接攻击,创建或接触任意文件。(CVE-2006-4248) 请注意,Nessus 并未针对这些问题进行测试,而仅依赖应用程序自我报告的版本号。解决方案
升级版本到 Acme thttpd 2.26 或更高版本。另见
插件详情
严重性: High
ID: 97144
文件名: acme_thttpd_2_26.nasl
版本: 1.6
类型: remote
系列: Web Servers
发布时间: 2017/2/14
最近更新时间: 2019/11/13
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 5.3
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2006-4248
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 6.8
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:acme_labs:thttpd
必需的 KB 项: www/thttpd
易利用性: No known exploits are available
补丁发布日期: 2006/3/5
漏洞发布日期: 2006/3/5