Dino Webserver服务器远程目录遍历漏洞

　　受影响系统：

　　Funsoft Dinos Webserver 1.0

　　- Microsoft Windows ME

　　- Microsoft Windows 98

　　- Microsoft Windows 95

　　Funsoft Dinos Webserver 1.2

　　- Microsoft Windows ME

　　- Microsoft Windows 98

　　- Microsoft Windows 95

　　描述：

　　BUGTRAQ ID: 3861

　　CVE(CAN) ID: CVE-2002-0111

　　Dino Web服务程序是一款小型简单的WEB服务器，允许你快速建立和设置WEB服务，包含日志功能和WEB计数功能。可以运行在Microsoft windows平台下。

　　Dino Web服务程序存在对用户输入过滤不充分问题，使攻击者可以远程以Web服务进程的权限遍历主机上的目录，读取任意它有权限读取的文件。

　　造成漏洞的原因在于脚本没有对用户输入的数据进行有效的安全性检查，攻击者可以通过提交包含多个“../”这样的字符串请求进行目录遍历。攻击者可以远程读取系统上任意httpd有权读取的文件。

　　<*来源：Franc Ruiz Arenas (camaleon__500@hotmail.com)

　　链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0110.html

　　*>

　　建议：

　　临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

　　* 暂时没有好的临时解决方法。

　　厂商补丁：

　　Funsoft

　　-------

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

　　http://funsoft.101main.com/