● [警告] njuwebbs和bbs2www的安全漏洞(转寄) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: jjk (○kernel○), 信区: InstallBBS
标  题: [警告] njuwebbs和bbs2www的安全漏洞(转寄)
发信站: 荔园晨风BBS站 (Sun Mar 24 14:36:30 2002), 转信

【以下文字转载自 jjk 的信箱】
【原文由 jjksam@smth.org 所发表】
发信人: Czz.bbs@bbs.feeling.dhs.org (陪你去看沙尘暴落在这地球上), 信区:
BBSMan_Dev
标  题: [警告] njuwebbs和bbs2www的安全漏洞(转寄)
发信站: 温馨小屋 (Thu Mar 21 12:15:13 2002)
转信站: SMTH!thunews.dhs.org!news.feeling.dhs.org!Feeling

njuwebbs的林补救方法：
BBSLINC.inc的post_imail()函数中加强对userid的判断或者取消post_imail
函数 (改成直接return)

发信人: lepton (0.210526315789473684...), 信区: maintenance
标  题: [警告] njuwebbs和bbs2www的安全漏洞(转寄)
发信站: 一塌糊涂 BBS (Thu Mar 21 04:34:34 2002), 本站

都是因为没有仔细检查popen的参数

bbs2www 2.01里面
直接相信了id,没有做检查就调用了popen

njuweb 0.9里面
虽然对userid有简单的合法性检查但是不够充分

--

zhch.bbs@bbs.nju.edu.cn

※ 来源:．南京大学小百合站 bbs.nju.edu.cn．[FROM: localhost.nju.edu.cn]

--
※ 转载:．温馨小屋 bbs.feeling.dhs.org．[FROM: feeling.dhs.org]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.146]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店