发布日期：2000-09-11
更新日期：2000-09-11

受影响系统：

    S.u.S.E. Linux 6.4
    S.u.S.E. Linux 6.3

描述：

---

SuSE Linux 6.3/6.4 甚至以前版本安装Apache WWW Server的时候缺省配置存在漏洞。
WWW服务配置文件/etc/httpd/httpd.conf包含如下条目，
Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

因此可以通过http://target/cgi-bin-sdb访问到/cgi-bin/目录下的的文件。因为
URL请求串里不包含/cgi-bin/字符串，所以该请求导致文件本身被送往客户端，而不
是在Server端执行后返回结果，潜在泄露CGI源代码。

<* 来源：@stake Advisories (advisories@atstake.com) *>



建议：

---

临时解决方法：
NSFOCUS建议您采用下列方法：

1. 注释掉引起问题的虚拟目录映射
#Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

2. 或者用如下方式映射虚拟目录
ScriptAlias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/

这样映射后，重启WWW服务，CGI脚本将被执行而不是直接发往客户端。


浏览次数：6921
严重程度：0（网友投票）