安全研究
安全漏洞
SuSE Apache CGI 源码泄露问题
发布日期:2000-09-11
更新日期:2000-09-11
受影响系统:
S.u.S.E. Linux 6.4
S.u.S.E. Linux 6.3
描述:
SuSE Linux 6.3/6.4 甚至以前版本安装Apache WWW Server的时候缺省配置存在漏洞。
WWW服务配置文件/etc/httpd/httpd.conf包含如下条目,
Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/
因此可以通过http://target/cgi-bin-sdb访问到/cgi-bin/目录下的的文件。因为
URL请求串里不包含/cgi-bin/字符串,所以该请求导致文件本身被送往客户端,而不
是在Server端执行后返回结果,潜在泄露CGI源代码。
<* 来源:@stake Advisories (
advisories@atstake.com) *>
建议:
临时解决方法:
NSFOCUS建议您采用下列方法:
1. 注释掉引起问题的虚拟目录映射
#Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/
2. 或者用如下方式映射虚拟目录
ScriptAlias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/
这样映射后,重启WWW服务,CGI脚本将被执行而不是直接发往客户端。
浏览次数:6939
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |