添加时间:
2005-08-12

系统编号:
WAVDB-00152
BUGTRAQ: 3839

影响版本:
Slashcode 2.1-2.2.2

程序介绍:

Slashcode是一个类似BBS的讨论中心系统，为著名的Slashdot讨论区所使用。

漏洞分析:

Slashcode存在设计问题，可以使远程攻击者以任意的有效用户名登录，从而完全冒用此用户在讨论板上进行活动。
这个漏洞存在于某些版本的slashcode中，任意已经登录的合法用户可以取得对其他任意用户帐号的访问。通过利用这个漏洞，攻击者可以得到管理用户的权限，从而完全控制站点的服务。


解决方案:
如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：
* 您应该暂时停止Web站点的使用，尽快升级到最新版本。

厂商补丁：
Slashcode
---------
目前厂商已经在新版本的程序中修补了这个漏洞，我们建议使用此软件的用户到厂商的主页获取最新版本：
Slashcode Upgrade slash-2.2.3.tar.gz
http://sourceforge.net/project/showfiles.php?group_id=4421

信息来源:
<*来源：Chris Nandor （pudge@osdn.com）
链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0121.html
*>