Python CGIHTTPServer模块CGIHTTPServer.py is_cgi方法信息泄露漏洞

基本信息

漏洞ID：1176103
漏洞类型：信息泄露
发布日期：2011-02-24
更新时间：2014-01-07
CVE编号： CVE-2011-1015
CNNVD-ID：CNNVD-201105-122
漏洞平台： N/A
CVSS评分：5.0

漏洞来源

<a href="https://www.securityfocus.com/bid/46541" target="_blank">https://www.securityfocus.com/bid/46541</a><br/> <a href="http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201105-122" target="_blank">http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201105-122</a><br/>

漏洞详情

Python是Python软件基金会的一套开源的、面向对象的程序设计语言。该语言具有可扩展、支持模块和包、支持多种平台等特点。 Python 2.5，2.6和3.0版本中的CGIHTTPServer模块的CGIHTTPServer.py中的is_cgi方法中存在信息泄露漏洞。由于该模块没有正确过滤用户提供的输入，导致访问任意脚本内的敏感信息，远程攻击者可以借助HTTP GET请求读取脚本源代码，该请求在URI始端缺少/(斜杠）字符。

参考资料

来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=680094
来源:BID
名称:46541
链接:http://www.securityfocus.com/bid/46541
来源:svn.python.org
链接:http://svn.python.org/view?view=revision&revision=71303
来源:SECTRACK
名称:1025489
链接:http://securitytracker.com/id?1025489
来源:MLIST
名称:[oss-security]20110224Re:CVErequest:InformationdisclosureinCGIHTTPServerfromPython
链接:http://openwall.com/lists/oss-security/2011/02/24/10
来源:MLIST
名称:[oss-security]20110223CVErequest:InformationdisclosureinCGIHTTPServerfromPython
链接:http://openwall.com/lists/oss-security/2011/02/23/27
来源:hg.python.org
链接:http://hg.python.org/cpython/rev/c6c4398293bd/
来源:bugs.python.org
链接:http://bugs.python.org/issue2254
来源：SECUNIA
名称：44461
链接：http://secunia.com/advisories/44461
来源：SECUNIA
名称：44474
链接：http://secunia.com/advisories/44474