|
[推荐]Gentoo Linux Acme Thttpd文件访问信息泄露漏洞
受影响系统:
Gentoo Linux 1.12.6
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 22349
Gentoo Linux是一个基于源码包的Linux系统。
Gentoo的www-servers/thttpd软件包实现上存在漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。
如果在新的Gentoo baselayout中使用start-stop-daemon命令的话,就会导致thttpd在启动时将文档根设置为系统的根目录“/”,这允许非授权用户远程访问thttpd进程可读的所有系统文件。
<*来源:Laurence Withers
链接:http://secunia.com/advisories/24018/
http://security.gentoo.org/glsa/glsa-200701-28.xml
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 在/etc/conf.d/thttpd的THTTPD_OPTS变量后包含-d选项指定文件根,或者修改THTTPD_OPTS变量使用-C选项指定thttpd.conf文件,然后在thttpd.conf文件中配置dir=指令。
厂商补丁:
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200701-28)以及相应补丁:
GLSA-200701-28:thttpd: Unauthenticated remote file access
链接:http://security.gentoo.org/glsa/glsa-200701-28.xml
所有thttpd用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-servers/thttpd-2.25b-r5"
| MySQL联合创始人向Sun递交辞呈 | 10-10 |
| 惠普未来两年将在英国裁员近3500 | 10-10 |
| 英特尔买下Netbook.com域名 | 10-10 |
| 你的摄像头和麦克风是如何被黑客 | 10-10 |
| 美国军队公开招募黑客进行网络战 | 10-10 |
| 不法分子利用一条短信骗了80余万 | 10-10 |
| 美大学生侵入佩林州长个人邮件账 | 10-10 |
| 6名黑客盗取网民账号转卖被判1-4 | 10-10 |
| 造谣广西将有9级强震江苏19岁黑客 | 10-10 |
| 中国IT竞争力指数 排名全球第50位 | 10-09 |
您现在的位置: