谢 谢 收 藏 http://www.qqread.com/linux/2006/06/e149123061.html
举该主机上存在的用户。
如果远程攻击者发送一个如下请求的话,
http://www.example.com/~
那么一般会有以下三种情况:
1.如果用户存在,并且配置好了自己的个人主页,那么服务器返回该用户的首页。
2.如果用户存在,但是还没有配置自己的个人主页,那么服务器返回:
"You don\'t have permission to access /~username on this server."
3.如果用户不存在,那么服务器返回:
"The requested URL /~username was not found on this server."
利用不同情况返回不同错误信息,导致远程攻击者可能列举主机用户名。
<*来源:Alexander A. Kelner (akson@tts.debryansk.ru)
参考:
http://archives.neohapsis.com/archives/bugtraq/2001-09/0111.html
*>
--------------------------------------------------------------------------------
建议:
我们建议你安装补丁程序之前,采用如下临时解决方法:
1.关闭缺省打开的“UserDir”选项
% echo \'UserDir Disabled\' >> /var/www/conf/httpd.conf
2.替换路径名URL
% echo \'ErrorDocument 404 http://localhost/sample.html\' >>
/var/www/conf/httpd.conf
% echo \'ErrorDocument 403 http://localhost/sample.html\' >>
/var/www/conf/httpd.conf
% sudo apachectl restart
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.redhat.com
受影响的系统: RedHat Linux 7.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 3335
举该主机上存在的用户。
如果远程攻击者发送一个如下请求的话,
http://www.example.com/~
那么一般会有以下三种情况:
1.如果用户存在,并且配置好了自己的个人主页,那么服务器返回该用户的首页。
2.如果用户存在,但是还没有配置自己的个人主页,那么服务器返回:
"You don\'t have permission to access /~username on this server."
3.如果用户不存在,那么服务器返回:
"The requested URL /~username was not found on this server."
利用不同情况返回不同错误信息,导致远程攻击者可能列举主机用户名。
<*来源:Alexander A. Kelner (akson@tts.debryansk.ru)
参考:
http://archives.neohapsis.com/archives/bugtraq/2001-09/0111.html
*>
--------------------------------------------------------------------------------
建议:
我们建议你安装补丁程序之前,采用如下临时解决方法:
1.关闭缺省打开的“UserDir”选项
% echo \'UserDir Disabled\' >> /var/www/conf/httpd.conf
2.替换路径名URL
% echo \'ErrorDocument 404 http://localhost/sample.html\' >>
/var/www/conf/httpd.conf
% echo \'ErrorDocument 403 http://localhost/sample.html\' >>
/var/www/conf/httpd.conf
% sudo apachectl restart
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.redhat.com
更多内容请看Apache配置专题、Linux集群技术、Apache技术专题专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- Apache配置专题 (863篇文章)
- Linux集群技术 (8375篇文章)
- Apache技术专题 (863篇文章)
- 体验Linux的音影世界 (8047篇文章)
- Linux驱动大全 (8847篇文章)
- Linux下的路由的配置与应用 (11847篇文章)
- 漏洞专区 (1743篇文章)
- Linux命令简介 (9900篇文章)
- Linux防火墙 (9727篇文章)
- Linux日志专题 (8501篇文章)
- 实用技巧:配置Linux操作系统环境变量 (30次浏览)
- 安装qmail全套功略 (18次浏览)
- TurboLinux 入门教程:第七课 TurboLinux简介 (18次浏览)
- Linux系统管理员秘技:用快捷命令一招制胜 (18次浏览)
- Linux系统命令分类详解 (1) (18次浏览)
- Linux下使用aMsn详解 (18次浏览)
- 你会在Linux下用POP3收Web电子邮箱吗? (18次浏览)
- 在Linux中用三款工具轻松制作网页 (18次浏览)
- Linux上的偷窺裝置 (1394的使用) (18次浏览)
- 深入浅出分析Linux内核漏洞的问题 (18次浏览)
