Раскрытие файлов в Acme THTTPD/Mini_HTTPD

Acme THTTPD и Mini_HTTPD - маленькие Web сервера, работающие на Freebsd, SunOs, Solaris, Linux, и других Unix системах.
Обе эти программы содержат уязвимость, которая позволяет удаленному нападающему создавать специально обработанный Web запрос, который способен отображать произвольные файлы на уязвимом компьютере. Это происходит, когда нападающий добавляет в конец '/' к запросу существующего файла. Файлы, которые существуют в защищенных каталогах, могут быть отысканы этим способом.
THTTPD уязвим только при включенной опции ' chroot '. Mini_HTTPD уязвим независимо от любых параметров настройки.
Пример:
http://host/protected-dir/.htpasswd/
Уязвимость найдена в Acme thttpd 1.9-2.20.
Уязвимость устранена в THTTPD Secure Webserver 2.22 и Mini_HTTPD Webserver 1.16.