Websecurity - Веб безпека

Знайдена уразливість в Apache mod_alias. Уразливі версії: Apache <= 2.2.3, Apache <= 2.0.59.

Уразливість дозволяє віддаленому користувачу обійти деякі обмеження безпеки.

Уразливість існує через помилку в модулі "mod_alias" при обробці чуттєвих до регістра аргументів директиви на файловій системі, не чуттєвої до регістра. У деяких випадках зловмисник може переглянути вихідний код сценаріїв у каталозі "cgi-bin", якщо директива ScriptAlias посилається на директорію усередині кореневого каталогу веб сервера і URL уведений прописними буквами (наприклад, "CGI-BIN").

Приклад уразливої конфігурації:
DocumentRoot "[path]/docroot/"
ScriptAlias /cgi-bin/ "/[path]/docroot/cgi-bin"

• Витік вихідних кодів скриптів в Apache для Windows (деталі)
• Обход ограничений безопасности в Apache “mod_alias” (деталі)

This entry was posted on 18:30 22.10.2006 and is filed under Новини, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.