歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

RedHatLinuxApache遠程列舉用戶名漏洞

  受影響的系統: RedHat Linux 7.0     描述:   --------------------------------------------------------------------------------     BUGTRAQ ID: 3335     隨同Red Hat Linux 7.0一起發布的Apache存在一個配置錯誤,導致遠程攻擊者可能列   舉該主機上存在的用戶。     如果遠程攻擊者發送一個如下請求的話,   http://www.example.com/~   那麼一般會有以下三種情況:     1.如果用戶存在,並且配置好了自己的個人主頁,那麼服務器返回該用戶的首頁。   2.如果用戶存在,但是還沒有配置自己的個人主頁,那麼服務器返回:   "You don\'t have permission to Access /~username on this server."   3.如果用戶不存在,那麼服務器返回:   "The requested URL /~username was not found on this server."     利用不同情況返回不同錯誤信息,導致遠程攻擊者可能列舉主機用戶名。     <*來源:Alexander A. Kelner ([email protected])   參考:   http://archives.neohapsis.com/archives/bugtraq/2001-09/0111.Html   *>           --------------------------------------------------------------------------------   建議:   我們建議你安裝補丁程序之前,采用如下臨時解決方法:     1.關閉缺省打開的“UserDir”選項   % echo \'UserDir Disabled\' >> /var/www/conf/httpd.conf     2.替換路徑名URL   % echo \'ErrorDocument 404 http://localhost/sample.html\' >>   /var/www/conf/httpd.conf   % echo \'ErrorDocument 403 http://localhost/sample.html\' >>   /var/www/conf/httpd.conf   % sudo apachectl restart     廠商補丁:     目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商   的主頁以獲取最新版本:   http://www.redhat.com




Copyright © Linux教程網 All Rights Reserved