thttpd 和 mini_http 权限绕过漏洞
发布日期:2001-11-13
更新日期:2001-11-15
受影响系统:Thttpd Secure Webserver
Mini_httpd Webserver
描述:
Thttpd Secure Webserver 和Mini_httpd Webserver 存在一个安全问题,可能导致权
限被绕过,从而不经授权即可访问某些受保护的资源。
问题出在httpd进程对文件请求的处理方式。如果一个文件是权限为403,或者处于一个
密码保护的目录中,那我们就可能远程查看这些文件的内容。该漏洞只在chroot选项打
开的情况下,并且影响Mini_httpd Webserver 的所有版本。
如果使用htaccess保护目录,只要我们知道文件名,就可能访问到这些受保护的文件。
如果使用htpasswd文件的话,通过发送一个特殊的请求,我们也可能浏览这些文件的内
容。
<*来源:zeno (
zeno@cgisecurity.net)
链接:
http://archives.neohapsis.com/archives/bugtraq/2001-11/0086.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
例如,下面的请求将显示“.htpasswd”文件的内容:
http://host/protected-dir/.htpasswd/
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 换用更安全的web服务器软件,例如Apache Web server.
厂商补丁:
目前厂商已经发布了补丁以修复这个安全问题,请到厂商的主页下载:
http://www.acme.com浏览次数:4166
严重程度:0(网友投票)