发布日期：2003-05-08
更新日期：2003-05-14

受影响系统：

Dustin Keys eL DAPo 1.17
Dustin Keys eL DAPo 1.16
Dustin Keys eL DAPo 1.15
Dustin Keys eL DAPo 1.14
Dustin Keys eL DAPo 1.13
Dustin Keys eL DAPo 1.12.1
Dustin Keys eL DAPo 1.12
Dustin Keys eL DAPo 1.11
Dustin Keys eL DAPo 1.10

不受影响系统：

Dustin Keys eL DAPo 1.18

描述：

---

BUGTRAQ  ID: 7535

eL DAPo是一款基于PHP的应用程序，用于管理和查询LDAP服务器，可以重命名、修改、删除LDAP条目。

eL DAPo存在设计问题，远程攻击者可以利用这个漏洞查看index.php源代码获得验证信息。

eL DAPo把一些敏感应用程序验证信息嵌入在部分eL DAPo脚本中，如index.php，攻击者可以通过查看脚本源代码获得明文密码信息，利用这些信息可以对系统进行进一步攻击。

<*来源：Dustin Keys
  
  链接：http://web.pdx.edu/~keysd/eLDAPo/VERSIONS
*>

建议：

---

厂商补丁：

Dustin Keys
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Dustin Keys Upgrade eL DAPo 1.18
http://freshmeat.net/redir/eldapo/34740/url_tgz/eLDAPo_1.18.tar.gz

浏览次数：2869
严重程度：0（网友投票）