【 以下文字转载自 InstallBBS 讨论区 】
【 原文由 zhch.bbs@bbs.nju.edu.cn, 所发表 】
njuwebbs的林补救方法:
BBSLINC.inc的post_imail()函数中加强对userid的判断或者取消post_imail
函数 (改成直接return)
发信人: lepton (0.210526315789473684...), 信区: maintenance
标 题: [安全通告]bbs2www和njuweb 0.9 Remote漏洞
发信站: 一塌糊涂 BBS (Thu Mar 21 04:34:34 2002), 本站
都是因为没有仔细检查popen的参数
bbs2www 2.01里面
直接相信了id,没有做检查就调用了popen
njuweb 0.9里面
虽然对userid有简单的合法性检查 但是不够充分
--
FROM feeling.dhs.org