NetWare部分WEB服务存在安全问题发布时间:2001-08-16 更新时间:2001-08-16 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 NetWare Enterprise Web Server 5.1详细描述 NetWare Enterprise Web Server 5.1 存在几个安全问题,这些 问题影响到相关产品,如GroupWise WebAccess. 1)信息泄露 如果通过WEB服务进行NDS浏览激活的话,攻击者可以通过80口获得一些如 用户名组名和其他系统信息:http://server/lcgi/ndsobj.nlm。 2)存在目录列表问题 GroupWise WebAccess servers对GET命令没有很好处理,请求HTML 文件可能导致显示目录信息。如果使用"get / http/1.1" 代替 "GET / HTTP/1.1" 请求,并目录列表允许的话就会显示目录列表。 测试代码 见描述部分。 解决方案 第一个漏洞使用如下方法解决: NDS browser 默认是关闭的,如果你开启了,请使用WEBMGR工具 关闭使用: 1. 点击 File. 2. 点Select Server 和选择相应服务器. 3. 选择盘中的\WEB 目录点击OK. 4. 使NDS browsing 选定框不选择. 5. 保存和重启动. 6. 输入WEB服务器密码后点OK. 第二个漏洞尚无。 相关信息 - thegnome@nmrc.org - - - thegnome@razor.bindview.com |
