安全研究
安全漏洞
MacOS X Client Apache 大小写不敏感泄漏文件内容
发布日期:2001-09-10
更新日期:2001-09-13
受影响系统:
Apache Group Apache 1.3.14Mac
- Apple MacOS X 10.0.3
- Apple MacOS X 10.0.2
- Apple MacOS X 10.0.1
- Apple MacOS X 10.0
描述:
BUGTRAQ ID : 3316
Mac OS X client使用的Apache Web服务器中存在一个安全漏洞。由于它对文件名的大小写
不敏感,因此攻击者可以获取一些本来无权读取得文件。
例如,读取'.DS_Store'可以获取当前目录下的文件列表,读取.FBCIndex可能会获取一些
文件的内容,甚至可以读取.htaccess文件。
这可能泄漏很多web服务器的信息给攻击者。
<*来源:Jacques Distler (
distler@golem.ph.utexas.edu)
链接:
http://archives.neohapsis.com/archives/bugtraq/2001-09/0068.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
只要改变文件的大小写就可以获取某些隐藏文件的内容:
http://your.mac.com/some_directory/.dS_store
http://your.mac.com/some_directory/.FBCIndeX
http://your.mac.com/some_directory/.HTACCESS
建议:
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.apache.org/
浏览次数:3718
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |