安全研究

安全漏洞
SuSE Apache CGI 源码泄露问题

发布日期:2000-09-11
更新日期:2000-09-11

受影响系统:

    S.u.S.E. Linux 6.4
    S.u.S.E. Linux 6.3
描述:

SuSE Linux 6.3/6.4 甚至以前版本安装Apache WWW Server的时候缺省配置存在漏洞。
WWW服务配置文件/etc/httpd/httpd.conf包含如下条目,
Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

因此可以通过http://target/cgi-bin-sdb访问到/cgi-bin/目录下的的文件。因为
URL请求串里不包含/cgi-bin/字符串,所以该请求导致文件本身被送往客户端,而不
是在Server端执行后返回结果,潜在泄露CGI源代码。

<* 来源:@stake Advisories (advisories@atstake.com) *>



建议:

临时解决方法:
NSFOCUS建议您采用下列方法:

1. 注释掉引起问题的虚拟目录映射
#Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

2. 或者用如下方式映射虚拟目录
ScriptAlias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

这样映射后,重启WWW服务,CGI脚本将被执行而不是直接发往客户端。


浏览次数:6939
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障