360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
严重严重

CVS服务器敏感信息泄露漏洞

WASC Threat Classification

发现时间:

2012-07-11

漏洞类型:

信息泄露

所属建站程序:

所属服务器类型:

所属编程语言:

描述:

目标存在CVS服务器敏感信息泄露漏洞Concurrent Versions System (CVS)是一款开放源代码的版本控制软件。CVS服务器在接收来自客户端的相对路径名处理时存在问题,漏洞可导致攻击者查看服务器上部分文件内容泄露CVS的连接账号和密码。

受影响系统:
CVS CVS 12.2
CVS CVS 12.1
CVS CVS 1.11.6
CVS CVS 1.11.5
CVS CVS 1.11.4
CVS CVS 1.11.3
CVS CVS 1.11.2
CVS CVS 1.11.14
CVS CVS 1.11.11
CVS CVS 1.11.10
CVS CVS 1.11
CVS CVS 1.10.8
CVS CVS 1.10.7
CVS CVS 1.11.1p1
- Debian Linux 3.0
- OpenBSD 3.2
- OpenBSD 3.1
- RedHat Linux 7.3
- RedHat Linux 7.2

- RedHat Linux 7.1
- RedHat Linux 7.0
- RedHat Linux 6.2
- SuSE Linux 8.1
- SuSE Linux 8.0


不受影响系统:
CVS CVS 12.7
CVS CVS 1.11.15
验证方式:打开目标页面验证是否存在CVS服务器敏感信息泄露。

示例:


危害:

攻击者可以通过泄露的CVS的连接账号和密码,控制CVS服务器,并实施进一步攻击

解决方案:

1.      屏蔽此类信息的输出。

2.      下载升级补丁

CVS CVS 1.11:
CVS Upgrade cvs-1.11.15.tar.gz
http://ccvs.cvshome.org/servlets/Pro...nload&dlID=466
CVS Upgrade cvs-1.12.7.tar.gz
http://ccvs.cvshome.org/servlets/Pro...nload&dlID=468

Debian
------
Debian已经为此发布了一个安全公告(DSA-486-1)以及相应补丁:
DSA-486-1:New cvs packages fix multiple vulnerabilities
链接:http://www.debian.org/security/2002/dsa-486

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论