February 2002 Archives

发布时间：2002-01-14
更新时间：2002-01-14
严重程度：中
威胁程度：权限提升
错误类型：设计错误
利用方式：服务器模式

受影响系统

Slashcode Slashcode 2.1
Slashcode Slashcode 2.1.1
Slashcode Slashcode 2.2
Slashcode Slashcode 2.2.1
Slashcode Slashcode 2.2.2

详细描述
Slashcode 是一个BBS程序，其中存在漏洞，任意合法登陆用户可以获得任意用户
的帐号，也可以获得管理员帐户名控制全部BBS系统。

测试代码
mysql> SELECT uid, nickname, seclev FROM users WHERE seclev >= 100;

以上会列出一些管理员的权利。

解决方案
请使用如下升级程序：

Slashcode Slashcode 2.1:

Slashcode Upgrade slash-2.2.3.tar.gz
http://sourceforge.net/project/showfiles.php?group_id=4421

Slashcode Slashcode 2.1.1:

Slashcode Upgrade slash-2.2.3.tar.gz
http://sourceforge.net/project/showfiles.php?group_id=4421

Slashcode Slashcode 2.2:

Slashcode Upgrade slash-2.2.3.tar.gz
http://sourceforge.net/project/showfiles.php?group_id=4421

Slashcode Slashcode 2.2.1:

Slashcode Upgrade slash-2.2.3.tar.gz
http://sourceforge.net/project/showfiles.php?group_id=4421

Slashcode Slashcode 2.2.2:

Slashcode Upgrade slash-2.2.3.tar.gz
http://sourceforge.net/project/showfiles.php?group_id=4421