Pico Server (pServ), několik nových zranitelností

Zranitelné jsou verze 3.2 a dřívější. V případě, že je pServ zkompilován s podporou CGI, může útočník pomocí speciálně upraveného URL spustit na cílovém stroji libovolný kód se stejnými právy, pod jakými běží pServ. Dále může vzdálený uživatel zjistit zdrojové kódy souborů, které jsou v adresáři cgi-bin. Poslední chyba má "pouze" lokální charakter a spočívá v tom, že pServ nerozlišuje mezi souborem a symbolickým linkem. Tím pádem může útočník vytvořit v adresáři webového serveru link na libovolný soubor v systému a přes webové rozhraní si tento soubor zobrazit. Rešením těchto problémů může být upgrade na verzi 3.3, případně kompilace pServeru bez podpory CGI a korektně nastavená přístupová oprávnění k citlivým souborům. Původní oznámení je zde.