Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

myServer 0.4.3 Directory Traversal Vulnerability


Overview


myServer version 0.4.3 shows files and directories that reside outside the normal web root directory.
Discovered on 2003, August, 23th
Vendor: Myserver

MyServer is a free, powerful web server program designed to be easily run on a personal computer by the average computer user. It is a multithread application and supports HTTP, CGI, ISAPI, WinCGI and FastCGI protocols. It is available on Windows and Linux Operating Systems. This web server can shows file and directory content that reside outside the normal web root directory.

Risk


Exploit easiness etoile1etoile1etoile1etoile1etoile1
Vulnerability spreading etoile1etoile1etoile0etoile0etoile0
Impact etoile1etoile1etoile1etoile1etoile0
Risk etoile1etoile1etoile1etoile0etoile0

Details


The vulnerability can be done using any browser. You just have to send a specially crafted dot-dot URL to retreive any file outside of the root directory.

Exploit


Here is an example of the vulnerability. The query sent was /././../ :


In fact, you have to create a dot-dot URL with the same number of "/./" and "/../" + 1.
For example, you can use :
/././..
/./././../..
/././././../../..
/./././././../../../..
etc...

Solution


The vendor has been informed and has solved the problem.
Download MyServer 0.5.

Discovered by


Arnaud Jacques aka scrap
webmaster@securiteinfo.com

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2018 - Tous droits réservés - SecuriteInfo.com