VULHUB ™

BUGTRAQ ID: 24762 CVE(CAN) ID: CVE-2007-3011 ServerView是用于进行自动分析和版本维护的资产管理工具。 ServerView的Web接口处理用户数据时存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上以Web进程的权限执行任意命令。 DBAsciiAccess CGI脚本提供了ping功能，该脚本Parameterlist参数的Servername子参数给出了所要ping的IP地址，但没有对这个IP地址执行任何检查。如果在IP后添加了拖尾分号，攻击者就可以注入任意shell命令并以Web服务器进程的权限执行。 Fujitsu ServerView &lt; 4.50.09 临时解决方法： * 禁止不可信任用户访问ServerView的Web接口。 厂商补丁： Fujitsu ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://support.fujitsu-siemens.com/Download/ShowDescription.asp?SoftwareGUID=D1ED76B7-FB37-4375-8744-8E6D5CFDC87F" target="_blank">http://support.fujitsu-siemens.com/Download/ShowDescription.asp?SoftwareGUID=D1ED76B7-FB37-4375-8744-8E6D5CFDC87F</a>

BUGTRAQ ID: 24762 CVE(CAN) ID: CVE-2007-3011 ServerView是用于进行自动分析和版本维护的资产管理工具。 ServerView的Web接口处理用户数据时存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上以Web进程的权限执行任意命令。 DBAsciiAccess CGI脚本提供了ping功能，该脚本Parameterlist参数的Servername子参数给出了所要ping的IP地址，但没有对这个IP地址执行任何检查。如果在IP后添加了拖尾分号，攻击者就可以注入任意shell命令并以Web服务器进程的权限执行。 Fujitsu ServerView &lt; 4.50.09 临时解决方法： * 禁止不可信任用户访问ServerView的Web接口。 厂商补丁： Fujitsu ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://support.fujitsu-siemens.com/Download/ShowDescription.asp?SoftwareGUID=D1ED76B7-FB37-4375-8744-8E6D5CFDC87F" target="_blank">http://support.fujitsu-siemens.com/Download/ShowDescription.asp?SoftwareGUID=D1ED76B7-FB37-4375-8744-8E6D5CFDC87F</a>