发布日期：2001-09-10
更新日期：2001-09-13

受影响系统：

Apache Group Apache 1.3.14Mac
   - Apple MacOS X 10.0.3
   - Apple MacOS X 10.0.2
   - Apple MacOS X 10.0.1
   - Apple MacOS X 10.0

描述：

---

BUGTRAQ ID : 3316

Mac OS X client使用的Apache Web服务器中存在一个安全漏洞。由于它对文件名的大小写
不敏感，因此攻击者可以获取一些本来无权读取得文件。

例如，读取'.DS_Store'可以获取当前目录下的文件列表，读取.FBCIndex可能会获取一些
文件的内容，甚至可以读取.htaccess文件。

这可能泄漏很多web服务器的信息给攻击者。


<*来源：Jacques Distler (distler@golem.ph.utexas.edu)
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-09/0068.html
*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

只要改变文件的大小写就可以获取某些隐藏文件的内容：
http://your.mac.com/some_directory/.dS_store
http://your.mac.com/some_directory/.FBCIndeX
http://your.mac.com/some_directory/.HTACCESS


建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.apache.org/


浏览次数：3718
严重程度：0（网友投票）