This version of the page http://websecurity.com.ua/314/ (0.0.0.0) stored by archive.org.ua. It represents a snapshot of the page as of 2006-10-24. The original page over time could change.
Обхід обмежень безпеки в Apache mod_alias - Websecurity - Веб безпека
« Уразливість на lib.meta.ua
Уразливості на www.singless.info »

Обхід обмежень безпеки в Apache mod_alias

18:30 22.10.2006

Знайдена уразливість в Apache mod_alias. Уразливі версії: Apache <= 2.2.3, Apache <= 2.0.59.

Уразливість дозволяє віддаленому користувачу обійти деякі обмеження безпеки.

Уразливість існує через помилку в модулі "mod_alias" при обробці чуттєвих до регістра аргументів директиви на файловій системі, не чуттєвої до регістра. У деяких випадках зловмисник може переглянути вихідний код сценаріїв у каталозі "cgi-bin", якщо директива ScriptAlias посилається на директорію усередині кореневого каталогу веб сервера і URL уведений прописними буквами (наприклад, "CGI-BIN").

Приклад уразливої конфігурації:
DocumentRoot "[path]/docroot/"
ScriptAlias /cgi-bin/ "/[path]/docroot/cgi-bin"

  • Витік вихідних кодів скриптів в Apache для Windows (деталі)
  • Обход ограничений безопасности в Apache “mod_alias” (деталі)

This entry was posted on 18:30 22.10.2006 and is filed under Новини, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply