Red Hat Linux Apache 暴露系统用户名信息漏洞

/ns/ld/softld/data/20010926102749.htm

RedHat Linux 7.0中附带的Apache WEB服务程序其中默认安装存在错误配置可以导致远程用户判断系统上是否存在用户:

http://www.example.com/~<username>

如果远程用户请求可能存在的用户默认页面,服务器将可能会返回3种响应:

1.如果<username>是合法用户帐户,并配置了默认页面,服务器回应此页面。

2.当用户存在系统上,但没有配置页面,服务就返回 "You don't have permission to access /~username on this server."信息。

3.如果测试的用户名不在系统上,服务器就会返回如下信息:
"The requested URL /~username was not found on this server."

这样就可以判断用户是否存在。

受影响的系统:
RedHat Linux 7.0

解决方案:
1.关闭默认的用户目录:
% echo 'UserDir Disabled' >> /var/www/conf/httpd.conf

2.使用URL替代路径名:
% echo 'ErrorDocument 404 http://localhost/sample.html' >> /var/www/conf/httpd.conf
% echo 'ErrorDocument 403 http://localhost/sample.html' >> /var/www/conf/httpd.conf
% sudo apachectl restart