Raxnet Cacti config.php文件全局可读问题

发布时间：2002-09-11
更新时间：2002-09-11
严重程度：中
威胁程度：用户敏感信息泄露
错误类型：配置错误
利用方式：服务器模式

BUGTRAQ ID：5628

受影响系统

Raxnet Cacti 0.5
Raxnet Cacti 0.6
Raxnet Cacti 0.6.1
Raxnet Cacti 0.6.2
Raxnet Cacti 0.6.3
Raxnet Cacti 0.6.4
Raxnet Cacti 0.6.5
Raxnet Cacti 0.6.6
Raxnet Cacti 0.6.7
+ Debian Linux 3.0
Raxnet Cacti 0.6.8

详细描述
Raxnet Cacti是监视网络活动的工具，可以从MYSQL中获取信息建立图形和计算详细信息。

Raxnet Cacti建立的config.php文件默认全局可读，这个文件包含MYSQL数据库敏感信息，可使其他用户获得用户密码等信息。

测试代码
无

解决方案
对config.php文件设置正确权限。

相关信息
Routing Table <knights@knights-of-the-routing-table.org>
参考：http://online.securityfocus.com/advisories/4460
http://online.securityfocus.com/archive/1/290323
相关主页：http://www.raxnet.net/products/cacti/

最近严重漏洞

Raxnet Cacti config.php文件全局可读问题