Раскрытие файлов в Acme THTTPD/Mini_HTTPD

Дата публикации:
18.11.2001
Всего просмотров:
1698
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Acme THTTPD и Mini_HTTPD - маленькие Web сервера, работающие на Freebsd, SunOs, Solaris, Linux, и других Unix системах.
Обе эти программы содержат уязвимость, которая позволяет удаленному нападающему создавать специально обработанный Web запрос, который способен отображать произвольные файлы на уязвимом компьютере. Это происходит, когда нападающий добавляет в конец '/' к запросу существующего файла. Файлы, которые существуют в защищенных каталогах, могут быть отысканы этим способом.
THTTPD уязвим только при включенной опции ' chroot '. Mini_HTTPD уязвим независимо от любых параметров настройки.
Пример:
http://host/protected-dir/.htpasswd/
Уязвимость найдена в Acme thttpd 1.9-2.20.
Уязвимость устранена в THTTPD Secure Webserver 2.22 и Mini_HTTPD Webserver 1.16.
 


или введите имя

CAPTCHA