黑基网 首页 服务器 Linux 查看内容

Red Hat Linux Apache 远程列举用户名漏洞

2005-6-16 06:19| 投稿: Linux

摘要: Red Hat Linux Apache 远程列举用户名漏洞 受影响的系统: RedHat Linux 7.0 描述: -------------------...
Red Hat Linux Apache 远程列举用户名漏洞 受影响的系统: RedHat Linux 7.0 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 3335 随同Red Hat Linux 7.0一起发布的Apache存在一个配置错误,导致远程攻击者可能列 举该主机上存在的用户。 如果远程攻击者发送一个如下请求的话, http://www.example.com/~ 那么一般会有以下三种情况: 1.如果用户存在,并且配置好了自己的个人主页,那么服务器返回该用户的首页。 2.如果用户存在,但是还没有配置自己的个人主页,那么服务器返回: "You don't have permission to access /~username on this server." 3.如果用户不存在,那么服务器返回: "The requested URL /~username was not found on this server." 利用不同情况返回不同错误信息,导致远程攻击者可能列举主机用户名。 <*来源:Alexander A. Kelner ([email protected]) 参考: http://archives.neohapsis.com/archives/bugtraq/2001-09/0111.html *> -------------------------------------------------------------------------------- 建议: 我们建议你安装补丁程序之前,采用如下临时解决方法: 1.关闭缺省打开的“UserDir”选项 % echo 'UserDir Disabled' >> /var/www/conf/httpd.conf 2.替换路径名URL % echo 'ErrorDocument 404 http://localhost/sample.html' >> /var/www/conf/httpd.conf % echo 'ErrorDocument 403 http://localhost/sample.html' >> /var/www/conf/httpd.conf % sudo apachectl restart 厂商补丁: 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商 的主页以获取最新版本: http://www.redhat.com
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部