Утечка информаиции о пользователях в Apach WEB сервере

Дата публикации:
14.09.2001
Дата изменения:
17.10.2006
Всего просмотров:
1905
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Найдена возможность уечки информации в Apach сервере, в случае если активирован модуль UserDir. Нападавшему достаточно перечислять существующие учетные записи пользователя пробуя обратится к их основному каталогу, и контролируя соответствующий ответ. Чтобы нападение сработало, пользователь не обязательно должен иметь public_html каталогов.
<p>
Пример:
Пытаемся просмотреть URL типа: http://www.example.com/~anna Возможно 3 варианта ответа:
1. Результат HTTP c кодом 200, и просмотр домашней страницы Анны (когда пользователь "Анна" существует, и она имеет домашнюю страницу).
2. Результат HTTP c кодом 403, и сообщение от Apache: "You don't have
permission to access /~anna on this server." - сообщение выдается, когда пользователь "anna" существует в системе, но нет ее домашней станицы или доступ к ней запрещен.
3. Результат HTTP c кодом 404, и сообщение от Apache: "The requested URL
/~anna was not found on this server" - в случае когда пользователь "anna" не присутствует в системе.





 


или введите имя

CAPTCHA