安全研究
安全漏洞
SuSE web server泄漏安装软件列表
发布日期:2000-09-25
更新日期:2000-09-25
受影响系统:
SuSE Linux 6.4
描述:
SuSe 6.4 (SuSe其他版本可能也受影响,但未经测试)中存在一个安全问题,允许任意用户
远程获取SuSe系统中安装的软件包的信息。
这个问题出在SuSe所带的web服务器的缺省httpd.conf配置文件中,它包含下列一项内容:
"Alias /doc/ /usr/doc/"
因此,如果该系统提供了web服务,任意用户都可以使用
http://www.victim.com/doc/packages/
这样的链接来获得该SuSe 6.4系统已安装的软件包信息。
<*来源:zab0ra aka t0maszek (
zabora@SZERMIERZ.UNI.WROC.PL) *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.victim.com/doc/packages/
建议:
NSFOCUS建议您在未打补丁或者升级以前,暂时取消"/doc"的别名或者限制对其的访问:
方法1. 在httpd.conf中删除:"Alias /doc/ /usr/doc/"行
方法2. 在httpd.conf中增加下列:
<Directory /usr/doc/packages>
order deny,allow
allow from ip(你信任的ip地址)
deny from all
</Directory>
厂商补丁:
目前SuSe还没有提供补丁或者升级程序
浏览次数:6607
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |