pi3Web ISAPI目录遍历远程拒绝服务漏洞

2008-11-17T00:00:00
ID SSV:4455
Type seebug
Reporter Root
Modified 2008-11-17T00:00:00

Description

BUGTRAQ ID: 32287

Pi3Web是免费的多线程HTTP服务器和开发环境。

Pi3web没有充分地检查入站请求。如果远程攻击者向服务器所请求的文件为ISAPI目录中的无效DLL的话,服务器就会将其作为DLL库加载到内存,导致崩溃。

Pi3.org Pi3Web 2.0.13 临时解决方法:

  • 在服务器配置的Server Admin > Mapping Tab中禁用ISAPI。
  • 删除ISAPI文件夹中的users.txt、install.daf和readme.daf。

厂商补丁:

Pi3.org

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://pi3web.sourceforge.net/ target=_blank>http://pi3web.sourceforge.net/</a>

                                        
                                            
                                                http://WEB_SITE/isapi/users.txt