|
|
Apache Autoindexing模块可能稻子后目录索引泄露问题
发布时间:2001-07-13
更新时间:2001-07-13
严重程度:中
威胁程度:服务器信息泄露
错误类型:设计错误
利用方式:服务器模式
受影响系统Apache Group Apache 1.3.20
Apache Group Apache 1.3.19
- Sun Solaris 8.0
- Sun Solaris 7.0
- SGI IRIX 6.5.9
- SGI IRIX 6.5.8
- S.u.S.E. Linux 7.1
- S.u.S.E. Linux 7.0
- S.u.S.E. Linux 6.4
- RedHat Linux 7.1
- RedHat Linux 7.0
- RedHat Linux 6.2
- OpenBSD OpenBSD 2.9
- OpenBSD OpenBSD 2.8
- NetBSD NetBSD 1.5.1
- NetBSD NetBSD 1.5
- MandrakeSoft Linux Mandrake 8.0
- MandrakeSoft Linux Mandrake 7.2
- MandrakeSoft Linux Mandrake 7.1
- HP HP-UX 11.11
- HP HP-UX 11.0
- HP HP-UX 10.20
- FreeBSD FreeBSD 4.2
- FreeBSD FreeBSD 3.5.1
- Digital (Compaq) TRU64/DIGITAL UNIX 5.0
- Digital (Compaq) TRU64/DIGITAL UNIX 4.0g
- Digital (Compaq) TRU64/DIGITAL UNIX 4.0f
+ Debian Linux 2.3
- Caldera eServer 2.3.1
- Caldera eDesktop 2.4
- Caldera OpenLinux 2.4
Apache Group Apache 1.3.18
Apache Group Apache 1.3.17
+ S.u.S.E. Linux 7.1
+ OpenBSD OpenBSD 2.8
Apache Group Apache 1.3.14
+ MandrakeSoft Linux Mandrake 7.2
Apache Group Apache 1.3.11 详细描述
APACHE的AutoIndex模块提供自动对目录索引的功能,一些管理员
依靠'index.html'来保证目录内容不被显示,不同模块中存在
漏洞可以导致存在'index.html'仍旧显示目录信息。
测试代码
http://target-webserver/?M=A
http://target-webserver/?S=D
解决方案
关闭模块或者在APACHE配置文件中去掉index选项。
相关信息
|
