Red Hat Linux Apache 远程列举用户名漏洞
点击次数:21 次 发布日期:2008-11-29 19:43:51 作者:源代码网
|
源代码网推荐
受影响的系统: RedHat Linux 7.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 3335
随同Red Hat Linux 7.0一起发布的Apache存在一个配置错误,导致远程攻击者可能列
举该主机上存在的用户。
如果远程攻击者发送一个如下请求的话,
~
那么一般会有以下三种情况:
1.如果用户存在,并且配置好了自己的个人主页,那么服务器返回该用户的首页。
2.如果用户存在,但是还没有配置自己的个人主页,那么服务器返回:
"You don@#t have permission to access /~username on this server."
3.如果用户不存在,那么服务器返回:
"The requested URL /~username was not found on this server."
利用不同情况返回不同错误信息,导致远程攻击者可能列举主机用户名。
<*来源:Alexander A. Kelner ()
参考:
*>
--------------------------------------------------------------------------------
建议:
我们建议你安装补丁程序之前,采用如下临时解决方法:
1.关闭缺省打开的“UserDir”选项
% echo @#UserDir Disabled@# >> /var/www/conf/httpd.conf
2.替换路径名URL
% echo @#ErrorDocument 404 >>
/var/www/conf/httpd.conf
% echo @#ErrorDocument 403 >>
/var/www/conf/httpd.conf
% sudo apachectl restart
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
源代码网供稿. |
