home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / gentoo_GLSA-200502-21.nasl < prev    next >
Text File  |  2005-03-31  |  2KB  |  63 lines
  1. # This script was automatically generated from 
  2. #  http://www.gentoo.org/security/en/glsa/glsa-200502-21.xml
  3. # It is released under the Nessus Script Licence.
  4. # The messages are release under the Creative Commons - Attribution /
  5. # Share Alike license. See http://creativecommons.org/licenses/by-sa/2.0/
  6. #
  7. # Avisory is copyright 2001-2005 Gentoo Foundation, Inc.
  8. # GLSA2nasl Convertor is copyright 2004 Michel Arboi
  9.  
  10. if (! defined_func('bn_random')) exit(0);
  11.  
  12. if (description)
  13. {
  14.  script_id(16472);
  15.  script_version("$Revision: 1.1 $");
  16.  script_xref(name: "GLSA", value: "200502-21");
  17.  
  18.  desc = 'The remote host is affected by the vulnerability described in GLSA-200502-21
  19. (lighttpd: Script source disclosure)
  20.  
  21.  
  22.     lighttpd uses file extensions to determine which elements are
  23.     programs that should be executed and which are static pages that should
  24.     be sent as-is. By appending %00 to the filename, you can evade the
  25.     extension detection mechanism while still accessing the file.
  26.   
  27. Impact
  28.  
  29.     A remote attacker could send specific queries and access the
  30.     source of scripts that should have been executed as CGI or FastCGI
  31.     applications.
  32.   
  33. Workaround
  34.  
  35.     There is no known workaround at this time.
  36.   
  37. References:
  38.     http://article.gmane.org/gmane.comp.web.lighttpd/1171
  39.  
  40.  
  41. Solution: 
  42.     All lighttpd users should upgrade to the latest version:
  43.     # emerge --sync
  44.     # emerge --ask --oneshot --verbose ">=www-servers/lighttpd-1.3.10-r1"
  45.   
  46.  
  47. Risk factor : Low
  48. ';
  49.  script_description(english: desc);
  50.  script_copyright(english: "(C) 2005 Michel Arboi");
  51.  script_name(english: "[GLSA-200502-21] lighttpd: Script source disclosure");
  52.  script_category(ACT_GATHER_INFO);
  53.  script_family(english: "Gentoo Local Security Checks");
  54.  script_dependencies("ssh_get_info.nasl");
  55.  script_require_keys('Host/Gentoo/qpkg-list');
  56.  script_summary(english: 'lighttpd: Script source disclosure');
  57.  exit(0);
  58. }
  59.  
  60. include('qpkg.inc');
  61. if (qpkg_check(package: "www-servers/lighttpd", unaffected: make_list("ge 1.3.10-r1"), vulnerable: make_list("lt 1.3.10-r1")
  62. )) { security_warning(0); exit(0); }
  63.