● Red Hat Linux Apache 远程列举用户名漏洞 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: michaelx (....), 信区: Security
标  题: Red Hat Linux Apache 远程列举用户名漏洞
发信站: 荔园晨风BBS站 (Sat Sep 22 09:16:41 2001), 转信

Red Hat Linux Apache 远程列举用户名漏洞
发布日期: 2001-9-12
更新日期: 2001-9-18
受影响的系统:  RedHat Linux 7.0
描述:
----------------------------------------------------------------------------
----
BUGTRAQ ID: 3335
随同Red Hat Linux 7.0一起发布的Apache存在一个配置错误，导致远程攻击者可能列
举该主机上存在的用户。
如果远程攻击者发送一个如下请求的话，
http://www.example.com/~<username>
那么一般会有以下三种情况：
1.如果用户存在，并且配置好了自己的个人主页，那么服务器返回该用户的首页。
2.如果用户存在，但是还没有配置自己的个人主页，那么服务器返回：
"You don't have permission to access /~username on this server."
3.如果用户不存在，那么服务器返回：
"The requested URL /~username was not found on this server."
利用不同情况返回不同错误信息，导致远程攻击者可能列举主机用户名。
<*来源：Alexander A. Kelner （akson@tts.debryansk.ru）
  参考：
http://archives.neohapsis.com/archives/bugtraq/2001-09/0111.html
*>
----------------------------------------------------------------------------
----
建议:
我们建议你安装补丁程序之前，采用如下临时解决方法：
1.关闭缺省打开的“UserDir”选项
% echo 'UserDir Disabled' >> /var/www/conf/httpd.conf
2.替换路径名URL
% echo 'ErrorDocument 404 http://localhost/sample.html' >>
/var/www/conf/httpd.conf
% echo 'ErrorDocument 403 http://localhost/sample.html' >>
/var/www/conf/httpd.conf
% sudo apachectl restart

--
M.X的FTP SERVER
有好多好野down.有过百兆的DELPHI编程资料！还有很多其他FTP无的软件。
不信就进来看看罗！
ftp://192.168.28.123
到网络安全版来玩罗，michaelx随时欢迎你！

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 202.96.134.135]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店