发布日期：2000-12-04
更新日期：2000-12-04

受影响系统：

Trlinux Postaci Webmail 1.1.3

描述：

---

Postaci Webmail是一个数据库驱动的基于web的邮件系统。它在缺省配置的情
况下可能允许远程攻击者获取对数据库系统的访问权限。

Postaci Webmail缺省将数据库的用户名和口令信息保存在global.inc文件中，
这个文件是“全体可读”的并且保存在web浏览器可访问的目录中。因此，攻击
者可以通过请求global.inc文件来直接获得数据库用户名和口令。从而攻击者
可能访问系统数据库并可能进一步入侵操作系统。

<*来源：Michael R. Rudel (mrr@brig.pcs.k12.mi.us) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://target/includes/global.inc


建议：

---

临时解决方法：

NSFOCUS建议您按照如下方法来临时解决此类问题：

1. 将包含敏感信息的配置或者包含文件放到web根目录以外的目录中去。
2. 确保web服务器不将包含文件作为文本文件处理。
3. 如果包含文件是一个有效的脚本文件，确保它们不会接受用户输入的参数。

厂商补丁：

暂无。


浏览次数：5340
严重程度：0（网友投票）