Caldera OpenLinux rpm_query CGI泄漏系统RPM包安装信息漏洞

漏洞信息详情

Caldera OpenLinux rpm_query CGI泄漏系统RPM包安装信息漏洞

• CNNVD编号：CNNVD-200003-011
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2000-0192
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2000-03-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  caldera
• 漏洞来源：
  harikiri※ hariki@e…

OpenLinux是Caldera公司出品的一个Linux发行版本。
对于某些版本的OpenLinux，存在一个默认安装的脚本，可能会导致系统信息泄漏。
Caldera OpenLinux 2.3完全安装后会安装一个名为rpm_query的CGI程序，默认位置在/home/httpd/cgi-bin/。任何人都可以远程连接到Web服务器上，利用这个CGI获取系统所安装的所有rpm包的完整列表。其中包括已经安装的软件及其版本等信息。攻击者可以利用这些信息判断系统是否安装了一些有安全问题的软件，从而进行相应的攻击。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 删除该文件或去除文件的访问权：

# chmod 0 /home/httpd/cgi-bin/rpm_query
厂商补丁：
Caldera
——-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.caldera.com/support/” target=”_blank”>
http://www.caldera.com/support/

来源: BID
名称: 1036
链接:http://www.securityfocus.com/bid/1036

来源: BUGTRAQ
名称: 20000304 OpenLinux 2.3: rpm_query
链接:http://archives.neohapsis.com/archives/bugtraq/2000-03/0029.html

来源：NSFOCUS
名称：376
链接：http://www.nsfocus.net/vulndb/376