htdig搜索引擎软件的CGI漏洞(安全动态)

公司介绍

员工心声

招聘信息

服务范围

htdig搜索引擎软件的CGI漏洞 (APP,缺陷)

涉及程序：

htdig搜索引擎软件

描述：

一些网站的搜索引擎允许用户读取任何文件

详细：

htdig搜索引擎的CGI程序htsearch对一些变量不执行对特殊字符的安全检查，允许调用硬盘上的文件，比如exclude变量和restrict变量，用下面的形式可以以httpd的权限查看可以查看的任何文件：

http://www.xxx.com/cgi-bin/htsearch?exclude=%60/etc/passwd%60
在浏览器中直接看是看不到结果的，必须用查看html源文件的方式才可以看到文件内容（文件内容包含在html中)

这是国外出品的一个应用广泛的搜索引擎产品。为证明该漏洞的严重性，警示国内的系统管理员，特列出有漏洞的下面两个国外网站，仅供研究和参考，用户不得用于非法目的，否则后果自负!

http://gsips.miis.edu
http://search.ur.msstate.edu

BTW,packetstorm的搜索引擎已经补了这个漏洞
http://209.143.242.119/cgi-bin/htsearch?exclude=%60/etc/passwd%60

解决方案：

htdig 3.1.5已经修补。
htdig 3.2.0b1存在漏洞，应该更新到htdig-3.2.0b2-022700

在http://www.htdig.org/有最新版本提供下载

附加信息：

严禁转载上述内容!