首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第13期->最新漏洞
日期:2000-09-12
受影响的系统:
S.u.S.E. Linux 6.4
S.u.S.E. Linux 6.3
描述:
--------------------------------------------------------------------------------
SuSE Linux 6.3/6.4 甚至以前版本安装Apache WWW Server的时候缺省配置存在漏洞。
WWW服务配置文件/etc/httpd/httpd.conf包含如下条目,
Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/
因此可以通过http://target/cgi-bin-sdb访问到/cgi-bin/目录下的的文件。因为
URL请求串里不包含/cgi-bin/字符串,所以该请求导致文件本身被送往客户端,而不
是在Server端执行后返回结果,潜在泄露CGI源代码。
<* 来源:@stake Advisories (advisories@atstake.com) *>
--------------------------------------------------------------------------------
建议:
临时解决方法:
NSFOCUS建议您采用下列方法:
1. 注释掉引起问题的虚拟目录映射
#Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/
2. 或者用如下方式映射虚拟目录
ScriptAlias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/
这样映射后,重启WWW服务,CGI脚本将被执行而不是直接发往客户端。
版权所有,未经许可,不得转载