Обнаружена уязвимость в Search Engine & Directory Powered by Turbo Seek, выпускаемом FocalMedia.Net. Из-за того, что ПО не фильтрует "null-byte poison" (возможность вставки символа %00 в конце строки запроса) в скрипте tseekdir.cgi, возникает возможность просмотра важных системных файлов. В качестве примера можно посмотреть содержимое файла /etc/passwd, ссформировав запрос вида http://www.xxx.com/cgi-bin/cgi/tseekdir.cgi?location=/etc/passwd%00. Автор (durito из LwB Security Team) приводит примеры доступа к файлам /etc/passwd конкретных Вэб-сайтов (www.uscomputer.net, www.micro2media.com и т.д.).
UINC