关键漏洞信息 漏洞编号: VU#956762 漏洞名称: WebEOC 通过上传大文件易受拒绝服务条件影响 概览 WebEOC 没有正确对用户可以上传的文件进行大小限制。这可能会让经过授权的攻击者耗尽系统资源,导致拒绝服务条件。 描述 WebEOC 是一个基于 Web 的危机信息管理应用程序,提供紧急人员和应急操作中心 (EOC) 之间收集、协调和传播信息的功能。WebEOC 不限制经过验证的用户可以上传到后端数据库的文件大小。上传非常大的文件可能会耗尽系统和数据库资源,最终中断系统操作。 影响 经过授权的攻击者可能会消耗大量的系统资源。一旦系统资源耗尽,系统操作可能会中断,导致拒绝服务条件。 解决方案 升级 版本 6.0.2 修复了这个漏洞。根据 ESI: 该漏洞已在 WebEOC 的 6.0.2 版本中解决,该版本使用文件保存机制在 ASP 页面上修复了该漏洞。文件上传机制现在在将文件数据存储在数据库中之前检查文件大小,限制可以上传到 WebEOC 的数据总量。在即将发布的 WebEOC 版本中,此缓解技术将扩展以包括其他潜在漏洞。 要获取 WebEOC 升级,请联系 ESI 技术支持。 限制访问 限制对 WebEOC 系统的访问,仅限已知和受信任的用户。 厂商信息 状态: 受影响 CVSS 指标 基本: 未提供 时间: 未提供 环境: 未提供 参考文献 http://www.esi911.com/esi/products/webeoc.shtml http://www.esi911.com/esi/support/support.htm http://secunia.com/advisories/16075/ 其他信息 CVE ID: CVE-2005-2283 严重性度量: 0.68 公开日期: 2005-07-13 首次发布日期: 2005-07-13 最后更新日期: 2005-07-20 03:32 UTC 文档修订: 66