发布日期：2003-02-15
更新日期：2003-02-24

受影响系统：

DotBr BotBr 0.1

描述：

---

BUGTRAQ  ID: 6865

Dotbr是一款由PHP编写脚本程序。

Dotbr的配置文件由于没有正确使用PHP文件扩展名，远程攻击者可以利用这个漏洞获得系统配置信息，利用这些信息进一步对系统进行攻击。

DotBr使用'config.inc'文件作为系统配置文件，但是没有正确使用PHP文件扩展名，因此请求此文件会被WEB服务器直接显示而不经过PHP解析器处理，导致信息泄露，如数据库密码等，攻击者可以利用这些信息进一步对系统进行攻击。

<*来源：Frog Man （leseulfrog@hotmail.com）
  
  链接：http://www.frog-man.org/tutos/5holes8.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 把config.inc改名为config.inc.php3。

厂商补丁：

DotBr
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://dotbr.org

浏览次数：2738
严重程度：0（网友投票）