Stronghold Secure Web 服务器信息泄露问题发布时间:2001-11-26 更新时间:2001-11-26 严重程度:中 威胁程度:服务器信息泄露 错误类型:访问验证错误 利用方式:服务器模式 受影响系统 RedHat Stronghold 2.3详细描述 Redhat Stronghold Secure Web 服务器是基于APACHE服务器的设计更安全的 服务程序。 默认安装的Stronghold支持URLS设计用来帮助管理系统并显示服务器信息,包括httpd.conf文件,恶意用户可以通过其他URL来活动服务器信息而不需要任何认证。 测试代码 http://target/stronghold-info http://target/stronghold-status 这些URLS默认安装中不使用。 解决方案 Stronghold 管理指南改变httpd.conf来拒绝其他访问: 在如下地方: <Location /stronghold-status> SetHandler server-status </Location> 增加如下内容: order deny,allow deny from all allow from .your.domain 相关信息 Bernard Margelin <bernard.margelin@vigilante.com> 参考:http://www.securityfocus.com/archive/1/241952 WEB信息:http://www.redhat.com/software/ecommerce/stronghold/ |
