AN HTTPD脚本源码泄露漏洞

CNNVD-ID编号	CNNVD-200604-013	CVE编号	CVE-2006-1598
发布时间	2006-04-03	更新时间	2006-04-04
漏洞类型	设计错误	漏洞来源	Tan Chew Keong chewkeong@security.org.sg
危险等级	高危	威胁类型	远程
厂商	an

漏洞介绍

AN HTTPD Server是一款Windows 95/98/Me/NT/2000/XP平台下的web服务程序。

AN HTTPD在验证用户URL中提供的文件名扩展时存在漏洞，攻击者可以通过发送包含有逗号和空格字符的特制请求从服务器检索脚本文件(如PL、CGI和BAT)的源码。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.st.rim.or.jp/~nakata/

来源: BID

名称: 17350

链接：http://www.securityfocus.com/bid/17350
来源: VUPEN

名称: ADV-2006-1200

链接：http://www.frsirt.com/english/advisories/2006/1200
来源: SECUNIA

名称: 19326

链接：http://secunia.com/advisories/19326
来源: BUGTRAQ

名称: 20060403 Secunia Research: AN HTTPD Script Source Disclosure Vulnerability

链接：http://www.securityfocus.com/archive/1/archive/1/429667/100/0/threaded
来源: MISC

链接：http://secunia.com/secunia_research/2006-21/advisory
来源: XF

名称: anhttpd-script-source-disclosure(25591)

链接：http://xforce.iss.net/xforce/xfdb/25591
来源: OSVDB

名称: 24323

链接：http://www.osvdb.org/24323