Apache Autoindexing模块可能导致泄漏目录列表-一一网

Apache Autoindexing模块可能导致泄漏目录列表

4年前更新

1580

漏洞信息详情

Apache Autoindexing模块可能导致泄漏目录列表

CNNVD编号：CNNVD-200110-003

危害等级：中危
CVE编号：
CVE-2001-0731
漏洞类型：

其他
发布时间：

2001-07-11
威胁类型：

远程
更新时间：

2005-10-12
厂商：

apache
漏洞来源：

漏洞简介

CVE(CAN) ID： CVE-2001-0731

Apache的AutoIndex(自动索引)模块会自动对目录进行索引。

如果该目录下存在index.html文件，那么自动索引将显示index.html的内容。

然而，这个模块存在一个可能的问题，如果提交某些特殊命令，可能会泄漏目录

列表，不管index.html文件是否存在。

问题出在/src/modules/standard/mod_autoindex.c ：

＃define K_NAME \’\’N\’\’ /* Sort by file name (default) */

＃define K_LAST_MOD \’\’M\’\’ /* Last modification date */

＃define K_SIZE \’\’S\’\’ /* Size (absolute， not as displayed) */

＃define K_DESC \’\’D\’\’ /* Description */

＃define D_ASCENDING \’\’A\’\’

＃define D_DESCENDING \’\’D\’\’

漏洞公告

解决方法：

建议您在httpd.conf中关闭”Index”选项。

参考网址

来源: www.apacheweek.com
链接:http://www.apacheweek.com/issues/01-10-05#security

来源: XF
名称: apache-multiviews-directory-listing(8275)
链接:http://xforce.iss.net/xforce/xfdb/8275

来源: BID
名称: 3009
链接:http://www.securityfocus.com/bid/3009

来源: BUGTRAQ
名称: 20010709 How Google indexed a file with no external link
链接:http://www.securityfocus.com/archive/1/20010709214744.A28765@brasscannon.net

来源: REDHAT
名称: RHSA-2001:164
链接:http://www.redhat.com/support/errata/RHSA-2001-164.html

来源: REDHAT
名称: RHSA-2001:126
链接:http://www.redhat.com/support/errata/RHSA-2001-126.html

来源: MANDRAKE
名称: MDKSA-2001:077
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2001:077

来源: SGI
名称: 20020301-01-P
链接:ftp://patches.sgi.com/support/free/security/advisories/20020301-01-P

受影响实体

Apache Http_server:1.3.20

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐