IRM 安全公告:Xcache Webserver存在路径可泄露漏洞发布时间:2001-09-22 更新时间:2001-09-22 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 Xcache 2.1 -详细描述 Xcache(http://www.xcache.com/)是运行在MS IIS服务器的前端应用程序,可以 加速文件的查找,如当请求一个指定的文档时,Xcache检查是否在CACHE中存在此 文档,然后返回,对于动态内容比较有用。但是某些脚本不需要保留CACHE的一份 拷贝,这些脚步呢一般是用于独立用户如电子购物等,这样Xcache就会提供关闭cache的功能,而这个功能关闭时,Xcache会在HTTP头中返回请求文档的绝对路径。 测试代码 [macavity@horus ~/work/research]$ telnet 192.168.0.21 80 Trying 192.168.0.21... Connected to 192.168.0.21. Escape character is '^]'. GET /home/index.html HTTP/1.0 HTTP/1.1 200 OK Content-PageName: D:\Inetpub\wwwroot\home\index.html Date: Tue, 18 Sep 2001 16:08:59 GMT Content-Type: text/html Accept-Ranges: bytes Last-Modified: Tue, 18 Sep 2001 15:10:48 GMT ETag: "0ccc3185440c11:925" Content-Length: 59 Server: Microsoft-IIS/5.0 Running XCache Version (2.1.5629.1) <HTML> <BODY> This is a test... </BODY> </HTML> Connection closed by foreign host. 解决方案 尚无 相关信息 advisories@irmplc.com |
