绿盟安全月刊->第13期->最新漏洞 SuSE Apache CGI 源码泄露问题

日期：2000-09-12

受影响的系统:  
    S.u.S.E. Linux 6.4
    S.u.S.E. Linux 6.3
描述:
--------------------------------------------------------------------------------


SuSE Linux 6.3/6.4 甚至以前版本安装Apache WWW Server的时候缺省配置存在漏洞。
WWW服务配置文件/etc/httpd/httpd.conf包含如下条目，
Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

因此可以通过http://target/cgi-bin-sdb访问到/cgi-bin/目录下的的文件。因为
URL请求串里不包含/cgi-bin/字符串，所以该请求导致文件本身被送往客户端，而不
是在Server端执行后返回结果，潜在泄露CGI源代码。

<* 来源：@stake Advisories (advisories@atstake.com) *>




--------------------------------------------------------------------------------
建议:

临时解决方法：
NSFOCUS建议您采用下列方法：

1. 注释掉引起问题的虚拟目录映射
#Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

2. 或者用如下方式映射虚拟目录
ScriptAlias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

这样映射后，重启WWW服务，CGI脚本将被执行而不是直接发往客户端。