Red Hat Linux Apache存在远程用户名可列举漏洞发布时间:2001-09-17 更新时间:2001-09-17 严重程度:中 威胁程度:服务器信息泄露 错误类型:配置错误 利用方式:服务器模式 受影响系统 RedHat Linux 7.0详细描述 RedHat Linux 7.0中附带的Apache WEB服务程序其中默认安装存在错误配置可以导致远程用户判断系统上是否存在用户: http://www.example.com/~<username> 请远程用户请求可能存在的用户默认页面,服务器会返回3个响应: 如果<username>是合法用户帐户,并配置了默认页面,服务器回应此页面。 当用户存在系统上,但没有配置页面,服务就返回 "You don't have permission to access /~username on this server."信息。 但是,如果测试的用户名不在系统上,服务器就会返回如下信息: "The requested URL /~username was not found on this server." 这样就可以判断用户是否存在。 测试代码 见描述部分。 解决方案 1,关闭默认的用户目录: % echo 'UserDir Disabled' >> /var/www/conf/httpd.conf 2,使用URL替代路径名: % echo 'ErrorDocument 404 http://localhost/sample.html' >> /var/www/conf/httpd.conf % echo 'ErrorDocument 403 http://localhost/sample.html' >> /var/www/conf/httpd.conf % sudo apachectl restart 相关信息 |
